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Securing Microsoft Azure with Qualys 
本 書 に つい て 


本 書 に つい て 


Qualys クラ ウド プラ ッ ト フ ォ ー ム お よび クラ ウド の セキ ュ リ ティ スキ ャ ン へ よう こそ 。 本書 で は 、Qualys 
クラ ウド セキ ュ リ ティ プラ ッ ト フ ォ ー ム を 使用 し て 、 ク ラウ ド IT イン フラ スト ラク チャ を スキ ャ ン す る 
Qualys ソリ ソ ュ ーション に つい て 詳し く 説 明 し ます 。 


Qualys に つい て 


Qualys, Inc. (NASDAOQ: QLYS) は 、 セ キュ リティ と コン プラ イア ンス を 目的 と する クラ ウド ソリ ュー ショ 
ン の パイ オニ ア で あり 、 リ ー デ ィング カン パニ ー で す 。Qualys の クラ ウド プラ ッ ト フ ォ ー ム お よび 統合 さ 
れ た アプ リケーション は 、 重 要 な セキ ュ リ ティ イン テリ ジェ ンス を オン デマ ンド で 提供 し 、IT シス テム と 
Web アプ リケーション の 監査 、 コ ンプ ライ アン ス 、 お よび 保護 の 全 範 囲 を 自動 化す る こと に より 、 ビ ジネス 
に お ける セキ ュ リ ティ 業務 の 簡略 化 と コン プラ イア ンス の コス ト 削 減 を 支援 し ます 。 


1999 年 の 創立 以来 、Qualys は 、Accenture、BT、Cognizant Technology Solutions、Deutsche Telekom、 富 
士 通 、HCL、HP Enterprise、 IBM、Infosys、 NTT、OptiV、SecureWorks、Tata Communications、Verizon、 
Wipro な どの マネ ー ジ ドサ ービス プロ バイ ダ や コン サル ティ ング 企業 と の 戦略 的 パー トナ ー シ ッ プ を 構築 
し て きま し た 。Qualys は 、CSA (Cloud Security Alliance) の 創立 メン バー で も あり ます 。 詳 細 に つい て 
は 、www.qualys.com を ご 覧 くだ さい 。 


Du 


Qualys サポ ー ト 


Qualys は 綿 容 な サポ ー ト を 提供 し ます 。 不明 な 点 に は 、 オ ン ラ イン ドキ ュ メ ント 、 電 話 サ ポー ト 、 お よび 
E メー ル に よる 直接 サポ ー ト を 通じ て 、 可 能 な 限り 迅速 に お 答え し ます 。 弊社 は 24 時 間 年 中 無休 で サポ ー 
ト を 提供 し ます 。 サ ポー ト 情 報 に つい て は 、www.qualys.com/support/ を ご 覧 くだ さい 。 
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は じ め に 


Qualys クラ ウド プラ ッ ト フ ォ ー ム へ よう こそ 。Qualys クラ ウド プラ ッ ト フ ォ ー ム は 、 従 来 の IT イン フラ 
スト ラク チャ に 加え 、 ク ラウ ド IT イン フラ スト ラク チャ の セキ ュ リ ティ を 確保 する た め の ソ リュ ーション 


を 実現 し ます 。 この ガイ ド で は 、 Qualys を 使用 


護 す る 方 法 に つい て 説明 し ます 。 


し て Microsoft Azure イン フラ スト ラク チャ の アセ モッ ト を 保 


Qualys の 統合 され た セキ ュ リ ティ プラ ッ ト フ ォ ー ム 


Qualys クラ ウド プラ ッ ト フ ォ ー ム を 使 / 
ビュ ー に まとめ る こと が で きま す 。Qualys を 初め て 使用 され る お 客 様 は 、 当 視 


H す る と 、 セ キュ リティ と コン プラ イア 


ンス を リア ル タ ム で 、 1 つの 


ト の クラ ウド プラ ッ ト フ ォ ー 


ム ふ に つ いて より 詳し く 知 っ て いた だ く た め に 、Qualys クラ ウド プラ ッ ト フ ォ ー ム の Web ペー ジ を 参照 し て 
くだ さい 。 
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は じ め に 


AZzure クラ ウド の 用 語 


Microsoft Azure - IaaS (Infrastructure as a Service) 、PaaS (Platform as a Service) 製品 を 含む 統合 サー ビ 
ス で 、 絶 え ず 拡大 を 続け る 集合 体 で ある Microsoft クラ ウド プラ ッ ト フ ォ ー ム で す 。 詳細 


Azure Resource Manager - Azure Resource Manager を 使用 する と 、 イ ン フ ラス トラ クチ ャ ソリ ュー ショ 
ン の リソー ス を グル ー プ と し て 扱う こと が で きま す 。1 つの まとまっ た 操作 で 、 ソ リュ ーション の すべ て の 
リソー ス を 配置 、 更 新 、 ま た は 削除 で きま す 。 配置 用 テン プレ ー ト を 使用 し ます 。 こ の テン プレ ー ト は 、 テ 
スト 、 ス テー ジン グ 、 本 番 な ど 、 さ ま ざ ま な 環境 に 使用 で きま す 。 詳細 


Resource Group - Azure ソリ ュー ショ ン に 関連 する リソー ス を 保持 する コン テ ナ で す 。 リ ソー スグ ルー プ 
に は 、 ソ リュ ーション の すべ て の リソー ス を 含め る こと も 、 グ ルー プ と し て 管理 し た い リ ソー ス の み を 含め 
る こと も で きま す 。 組織 に と っ て 最も 理 に か な っ た 基準 に 基づい て 、 リ ソー スグ ルー プ へ の リソー ス の 割り 
当て 方 法 を 決定 し ます 。 詳細 


Resource Manager Template- リソー スグ ルー プ に 配置 する 1 つ 以 上 の リソー ス を 定義 する JSON 
(JavaScript Object Notation) ファ イル で す 。 こ れ は 、 配 置 済 み リ ソー ス 間 の 依存 関係 も 定義 し ます 。 テ ン 
プレ ー ト を 使用 する こと で 、 一 貫 性 を 保ち な が ら 繰り 返し リソー ス を 配置 で きま す 。 詳細 


IMicrosoft Azure Cloud Computing Terms - Microsoft Azure ポー タル に は 、 ク ラウ ド ベ ー ス の サー ビス に 
関連 する 一 般 的 な クラ ウド コン ピュ ー テ ィング 用 語 の 辞書 が あり ます 。Microsoft Azure を 初め て 使用 する 
ユー ザ に は 特に 有益 で す 。 詳細 


Azure の セキ ュ リ ティ 保護 の 基本 - IaaS お よび PaaS 


Qualys は Microsoft の ARM (Azure Resource Manager) と 統合 し 、Microsoft ARM API を 使用 し て ア 
セッ ト を 検出 し ます 。 こ の 統合 に より 、Azure クラ ウド プラ ッ ト フ ォ ー ム 内 で 仮想 マシ ン イ ンス タン ス の イ 
ン ベ ン トリ の 変更 を 自動 的 に 検出 し 同期 し ます 。 仮 想 マ シン は 、 時 間 の 経過 に 伴っ て IP アド レス が 変更 さ 
れ て も 、 仮 想 マ シン ID に よっ て Qualys 内 で 追跡 され ます 。 


前 提 条 件 


- Qualys アプ リケーション : Vulnerability Management (VM) 、Policy Compliance (PC) また は Security 
Configuration Assessment (SCA) 、Cloud Agent (CA) 


- Qualys セン サ : Virtual Scanner Appliance、Cloud Agent (必要 に 応じ て ) 


- Qualys Virtual Scanner Appliance: 仮想 マン シン は 、HTTPS ポー ト 443 経由 で 、Qualys クラ ウド プラ ッ 
ト フ ォ ー ム に アク セス で きる 必要 が あり ます 。 


- Virtual Scanner Appliance の 配置 に 使用 され る Scanner の 個人 設定 コー ド 4 桁 ) : これ は Qualys ア 
カウ ント か ら 取 得 し ます (「Qualys へ の 新しい Virtual Scanner の 追加 」 参 照 )。 


- Qualys ユー ザ ア カ ウ ント : マネ ー ジ ャ また は ユニ ッ ト マ ネー ジャ の ロー ル が 必要 で す 。 
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始め る 前 に 


Qualys クラ ウゥ ドス イー ト の 機能 と イン タフ ェ ー ス に つい て 、 既 に ご 存 知 か も し れ ま せん が 、 以 下 に 動画 ラ 
イブ ラリ へ の リン ク を 紹介 し ます 。 


Vulnerability Management 


Policy Compliance 


CloudView 


Web Application Scanning 


Cloud Agent 


Qualys の Azure Security Center へ の 統合 


以下 に 役 


Qualys トレ ー ニ ング 
Qualys ドキ ュ メ ント | 操作 ガイ ド 、 ク イッ ク 参 照 、API ドキ ュ メ ント 


に 立つ リソー ス を 紹介 し ます 。 


無料 の 自習 用 授業 、 ビ デオ シリ ー ズ 、 オ ン ラ イン コー ス (英語 ) 


Qualys コミ ュ ニ ティ | プロ ジェ クト マネ ー ジ ャ 、 分 野 の 専門 家 、 そ の 他 の Qualys ユー ザ か 
ら の 情報 


Qualys ブロ グ | 最新 の 更新 内 容 、 役 立つ ヒン ト 


クイ ックス テッ プ : Azure の セキ ュ リ ティ 保護 
Qualys を 使用 し て Azure を セキ ュ リ ティ 保護 する た め の フ ロー は 以下 の よう に な り ま す 。 


らら の ② の の ②@ の ②6 の 6@ め ⑳@ ら @ 


Automate Asset Inventory 
Sync inventory and metadata for an Azure virtual machine by setting up AssetView Azure Connector 


Design Sensor Deployment Strategies 
Analyze Environment and deployment strategies for Cloud Agent and Virtual Scanner Appliance 


Deploy Sensors 
Install Scanner Appliance and/or Cloud Agentg 


Scan Assets 
Launch scans targeting all assets or specific assets you're interested in 


Analyze, Report & Remediate 
View dynamic dashboards, create custom widgets and run reports 


Cloud Inventory and Security Assessment 
Continuously inventory and assess your Azure cloud workloads 


Securing Containers 
Identify Container Hosts, Registries, and CICD Pipelines and Deploy Container Sensors 


Securing Web Applications 
Configure Qualys Web Application Scanning to scan your applications 
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自動 アセ ッ ト イ ン ベ ン トリ 


自動 アセ ッ ト イ ン ベ ン トリ 


Azure コネ クタ の 配置 


Microsoft Azure アカ ウン ト か ら リ ソー ス 情 報 を 収集 する Microsoft Azure コネ クタ を 設定 し ます 。 
AssetView お よび CloudView か ら Azure コネ クタ を 作成 で きま す (前 提 条 件 の 後に 説明 ) 。 操作 は わずか 
数 分 で 完了 し ます 。 


Azure コネ クタ の 作成 に 必要 な アク セス 許可 に つい て 説明 し ます 。 


前 提 条件 
Azure コネ クタ を 作成 する 前 に 、 以 下 の アク セス 許可 が ある こと を 確認 し て くだ さい 。 


- Azure Active Directory に アプ リケーション を 登録 する に は Azure Active Directory へ の アク セス 許可 を 
割り 当て る 


- Azure サブ スク リプ ショ ン で ロー ル に アプ リケーション を 割り 当て る に は Azure サブ プス クリ プシ ョ ン の ア 
クセ ス 許 可 を 確認 する 


Azure Active Directory へ の アク セス 許可 を 割り 当て る 

「Azure Active Directory」 っ 「User 
Settings」 に 移動 し 、「App registrations」 
s-azure Usersetings が Azure サブ プス クリ プシ ョ ン で 許可 さ 


ws ※ れ て いる こと を 確認 し ます 。 
Enterprise applications 自分 の Azure サブ スク リプ ショ ン で ア 
Manage how end users launch and view their applicati 


プリ の 登録 が 「No」 に 設定 され て いる 
場合 は 、 自 分 の アカ ウン ト が Azure AD 
アカ ウン ト で 管理 者 と ユー ザー の ど ち 
ら で あ る か 確認 する 必要 が あり ます 。 


アカ ウン ト が 管理 者 か どう か を 確認 
に SE pe 2 る に は 、「Overview」 に 移動 し て 自分 の 


App registrations 


App Services 


Function Apps 


Administration portal 


virtuat nachines ユー ザ 情 報 を 確認 し ます 。 


External users 


‘$$ Load balancers 


男 Storage accounts 


Virtual networks 1 


の swi 
$Azure Active pirectory @〆 


IMon 
人 


azure.qualys.com 
Ar ーー od qualys-azure 
Azure AD Free 
W Secunty Center 
東 MANAGE 
:} Cost Management + Billing Sign-ins 
Users 
8 Groups 
] 
D 


アカ ウン ト が 「User role」 に 割り 当て られ て いる が 、 ア プリ の 登録 設定 は 管理 者 ユー ザー に 制限 され て いる 
場合 、 新 し い ア プリ ケー ショ ン の 登録 は 許可 され ませ ん 。 こ の よう な 場合 は 、 管 理 者 に グロ ー バ ル 管 理 者 
ロー ル を 割り 当て て も ら う か 、 ユ ー ザ ー で も アプ リ を 登録 で きる よう に し て も らい ます 。 
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自動 アセ ッ ト イ ン ベ ン トリ 


Azure サブ スク リプ ショ ン の アク セス 許可 を 確認 する 


Azure サブ スク リプ ショ ン で 、AD アプ リ を 閲覧 者 ロー ル に 割り 当て る に は 、 ア カウ ント に 所 有 者 アク セス 
ロー ル が 必要 で す 。 ア カウ ント が 「Contributor role」 に 割り 当て られ て いる 場合 は 、 適 切な アク セス 許可 が 
な いた め 、 サ ービス プリ ン シ パ ル を ロー ル に 割り 当て よう と する と エラ ー を 受け 取り ます 。 


っ て 


ZZ 


分 に 割り 当て られ て いる ロー ル を 確認 する に は 、 ア カウ ント を 選択 し て (画像 を 参照 ) 「My permissions」 
を 選択 し ます 。「Subscriptton」 ド ロッ プ ダ ウン リス ト か ら 、 ア クセ ス 許 可 を 確認 する サブ スク リプ ショ ン を 
選択 し 、「Click here to view complete access details for this subscription」 リン ク を クリ ッ ク し ます 。 


QUALYS-AZURE eS 


Sign out い 
Change password ヴ 
My contact information 回 s On えー X 


My permissions 


Submit an idea 


View my bill Seag 
) … 明 = 
"® You have the following access: 
Switch Directory 2 


= Youareamember of the gr 


emo-Admin (null' which has 
utor (type BuiltinRole) and has 
zure Demo 


Click here to view complete access details for this subscription 37 


AssetView で の Azure コネ クタ の 作成 


1) Qualys クラ ウド プラ ッ ト フ ォ ー ム に ログ イン し 、AssetView アプ リ を 選択 し ます 。「 コ ネ ク タ 」 つ 「Azure」 
タブ を 選択 し 、「Azure ユネ クタ を 作成 」 を 選択 し て 、 ウ ィ ザ ー ド の 手順 に 従い ます 。 


assigned the role "Con 


cription Qualy 


ヒン ト - 汎用 の アセ ッ ト タ グ (例え ば “Azure ?) を 少な く と も 1 つ 作 成 し 、 インポ ー ト し た すべ 
て の アセ ッ ト に 対し て この タグ を 自動 的 に 適用 する よう に コネ クタ を 設定 する こと を お 和 勧め し ま 
す 。 検出 され た Azure メタ デー タ に 基づい て 、Azure アセ ッ ト に タグ を 追加 で きま す 。 


2) コネ クタ の 名 前 と 説明 (オプ ショ ン ) を 入力 し ます 。 
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3) アカ ウン ト タ イ プ (「 グ ロー バル 」 ま た は 「GoyvCloud」) を 選択 し ます 。 コ ネ ク タ ご と に 選択 で きる アカ 
ウン ト タ イ プ は 1 つの み で す 。 


Azure コネ クタ を 作成 ヘル プ を 起動 % 


ステ ッ プ 1 A\ コネ クタ の 
る 


Qualys_Azure_Connector 
2 タグ と アク ティ ブ 化 説明 


0 250¥m 。 ママ 


確認 
アカ ウン ト タ イプ を 選択 
⑧ グロ ー バ ル O GovCloud 
アカ ウン ト タ イ プ 
認証 の 詳細 を 設定 
アク ティ ブ デ ィ レ クト リ で アプ リケーション を 作成 し 、 サ ブス クリ プシ ョ ン に リー ダ ロ ー ル アク セス を 指定 し ます 。 


アプ リケーション ID 


ディ レク トリ ID 
quays2ii55 


4) 認証 の 詳細 の 設定 を 行い 、 認 証 情報 を フォ ー ム に コピ ー し て 貼り 付け ます 。 


2 事前 認証 済み の Scanner Appliance を 使用 する 場合 は 、「 タ グ と アク ティ ブ 化 」 で スキ ャ ン 用 の アセ ッ ト 
グ を 設定 し ます 。 


6) 「 コ ネ ク タ の 作成 」 を クリ ッ ク し ます 。 


以上 で 完了 で す 。 コ ネ ク タ に より 、Microsoft Azure と の 接続 が 確立 され 、Qualys クラ ウド プラ ッ ト フ ォ ー 
ム を 使用 し て Microsoft Azure リソー ス の セキ ュ リ ティ 間 題 の スキ ャ ン が 開始 され ます 。 


Securing Microsoft Azure with Qualys 
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認証 の 詳細 の 設定 


この 項 で は 、Azure コネ クタ の 作成 に 必要 な パラ メー タ の 取得 に つい て 説明 し ます 。 


アプ リケーション の 作成 と アプ リケーション ID お よび ディ レク トリ ID の 取得 
Azure Active Directory で アデ プリ ケー ショ ン を 作成 し 、 ア プリ ケー ショ ン ID を メモ し ます 。 


1) Microsoft Azure コン ツー ル に ログ オン し 、 左側 の ナビ ゲー ショ ン パ ネル で 「Azure Active Directory」 
を 押し ます 。 


Microsoft Azure segrc7 resources, services, and docs 


Home > Qualys, Inc. - App registrations 


Create a resource 説 Qualys, Inc. - App registrations 
Home ーー « ®@ Endpoints 
Dashboard 
2 ⑩ ouewiew ひ Welcome to the new and improved 
FAVORITES ci Getting started A\ Looking to leam how it's changel 
Still want to use App registrationl 
All resources Manage 
Resource groups as All applications Owned applica1 
8 App services ua Groups ロ 
喜 sor databases g DISPLAY NAME 
8 Azure Cosmos DB Roles and administrators 回 Demo Application 
EO Virtual machines 較 Enterprise applications 
$ Load balancers 目 Devices 
還 Storage accounts 
Virtual networks 職 App registrations (Legacy) 
人 ぐ Azure Active Directory (8 Identity Governance 


参 しり 山 で 


2) 「App Registrations」 つ 「New registration」 を クリ ッ ク し ます 。 

3) 次 の 情報 を 指定 し ます 。 

- 名前: アプ リケーション の 名 前 ( 例 : My_Azure Connector) 

- サポ ー ト され る アカ ウン ト タ イ プ : 組織 ディ レク トリ の アカ ウン ト を 選択 し ます 。 


4) 「Register」 を クリ ッ ク し ます 。 新 し く 作 成 さ れ た アプ リケーション の プロ パテ ィ が 表示 され ます 。 
「Application (client) ID」 と 「Directory (tenant) ID」 を コピ ー し 、 コ ネ ク タ の 詳細 情報 に 貼り 付け ます 。 


Home > Qualys, Inc. - App registrations > My Azure Connector 


調 My Azure Connector » X 
« 


年 Delete Endpoints 


Display name 


時 Overview My Azure Connector 

& Quickstart Application (client) ID 
ee261a8d-bed8-4564-a830-9d88df5ba2e9 

Manage Directory (tenant) ID 
81a9ef9a-9a98-4b00-886a-895a603bc029 

語 Branding ー 

Authentication 221a4946-7205-46d3-811d-69839703ed51 
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認証 キー の 生成 
Windows Azure Service Management API に アク セス し て 秘密 鍵 を 作成 する た め に 、 新 し い ア プリ ケー ショ 
ン に アク セス 許可 を 付与 し ます 。 


1) 作成 し た アプ リケーション を 選択 し 、「API permissions」 つ 「Add a permission」 に 移動 し ます 。 
2) 「Request API permissions」 の 「Microsoft APIts」 で 「Azure Service Management」 API を 選択 し ます 。 


Home > - App registrations > My Azure Connector - API Dermissions Request API Permissions 
③④- My Azure Connector - AP permissions 
Select an API 
] 1 
と | 本 i APls my organization uses ~My APls 
API permissions 
隊 Overview Applications are authorized to use APls by requesti Commonly used Microsoft APls 
rant/deny access. 

& Quickstart 5 84 

Cr Maemo re 。 店 

所 R 
nge ーー ニーー ニ ーー Take advantage of the tremendous amount of data in Office 365, Enterpriss Mobilty - 四 弄 “ 
ee Security, は dps Access Azure Ap Excel lntune Outlook/Exchange, OneDrive, x ヨ BB 机 る 
画 Branding OneNote, SharePoint, Planner and more through a single endpoint 
マ Microsoft Graph (1 

3 Authenticstion RGD 
Certifcates & secrets cd gq Azure DevOps RSS MN Azure Service Management 
今 APl permissions ) These are the permissions that this application reqt Integrate with Azure DevOps and Azure Allow validated users to read and write Programmatic access to much of the 

able permissions dynamically through code. See bi DevOps server protected content functionality available through the Azure 
人 Expose an API portal 
語 owners 

Data Export Service f 6 

MM Manifest Grant consent 国 Azure Storage nr ‘$e Dynamics 365 Business Central 

To consent to permissions that require admin const Secure, massively scalable object and Export data from Microsoft Dynamics Programmatic access to data and 
support + Troubleshooting directory. data lake storage for unstructured and CRM organization to an external functionality in Dynamics 365 Business 

semi-structured data destination Central 

XX Troubleshooting EE a 


3) 「user impersonation」 権限 を 選択 し 、「Add permissions」 を クリ ッ ク し ます 。 


Request API permissions 


< All APls 


Azure Service Management 
A https://management.azure.com/ Docs [2 


What type of permissions does your application reduire? 


Delegated permissions 


Your application needs to access the APl as the signed-in user. 


Select permissions expand al 


PERMISSION ADMIN CONSENT REQUIRED 


user_impersonation ! 
Access Azure Service Management as organization users (DrevieW) @ ! 


(4 Add Permissions 


4) 作成 し た アプ リケーション を 選択 し 、「Certificates and Secrets」 つ 「New client secret」 を 選択 し ます 。 


13 


Securing Microsoft Azure with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


5) 秘 審 鍵 の 説明 と 有効 期限 (「Never」 を 推奨 ) を 追加 し 、「Add」 を クリ ッ ク し ます 。 


Home > - App registrations > My Azure Connector - Certificates & secrets 
? My Azure Connector - Certificates & secrets » Xx 
a a « ・ 
| の Segrc ヵ (Cr な の ] Add a client secret 
虐 overview 
Description 
< Quickstart Type a descnption for the secret key 
Manage 


語 Branding 


る Authentication 


® Certificates & secrets 
つつ - API permissions (EE a | 


Expose an API PP PETE es 
説 Owners 
画 Manifest Client secrets 


A secret string that the application uses to prove its identity when requestind a token. Also can be referred to as 
apPlication password. 


+ New dlentseeret | 


8 New support request 


Support + Troubleshooting 


DESCRIPTION EXPIRES VALUE 


No client secrets have been created for this application. 


6) キー の 値 が 「Value」 フィ ー ル ド に 表示 され ます 。 


この 時 点 で キー の 値 を コピ ー し ます 。 後 か ら キ ー の 値 を 取得 する こと は で きま せん 。 キ ー の 値 を 
認証 キー と し て コネ クタ の 詳細 に 貼り 付け ます 。 こ の キー の 値 は せ 、 ア プリ ケー ショ ン と し て ログ 
オン する 際 に アプ リケーション ID と 共に 入力 する 必要 が あり ます 。 キー の 値 を 、 ア プリ ケー ショ 
ン が 取得 で きる 場所 に 保存 し ます 。 
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サブ スク リプ ショ ン ID の 取得 

アプ リケーション が サブ スク リプ ショ ン に アク セス する た め の ア クセ ス 許 可 を 付与 し ます 。 新 し い ア プリ 
ケー ショ ン に ロー ル を 割り 当て ます 。 割り 当て る ロー ル に よっ て 、 新しい アプ リケーション が サブ スク リプ 
ショ ン に アク セス する た め の パ ペパー ミッション が 定義 され ます 。 


1) Microsoft Azure ポー タル で 、「Subscriptions」 に 移動 し ます 。 
Mo 


All services | の 


Create a resource 


Home 


avirT GENERAL (15) 
Dashboard el 詩 Allresources 
All services 

Compute ① Recent 
FAVORITES 

Networking 


[WW Management groups 


All resources 


Storage 
# ResOurCe drOUPS 
ビル Web て で swewes つ 


Ld App Services 


Mobile (OM Resource groups 


2) アプ リケーション に アク セス 許可 を 付与 する サブ スク リプ ショ ン を 選択 し 、 サ ブス クリ プシ ョ ン ID を メ 
モ し ます 。 作成 し た アプ リケーション に アク セス 許可 を 付与 する に は 、「Access Control (IAM)」 を 選択 し 
ます 。 


3) 「Add」 つ 「Add a role assisnment」 に 移動 し ます 。「Reader」 ロ ー ル を 選択 し ます 。「Reader」 は すべ て 
を 表示 で きま す が 、 サ ブス クリ プシ ョ ン の リソー ス に 変更 を 加え る こと は 一 切 で きま せん 。 


4) 「Assign Access to」 ドロ ッ プ ダウ ン で 、「Azure AD user, group, or application」 を 選択 し ます 。 
$) 「Select」 ドロ ッ プ ダウ ン に アプ リケーション 名 を 入力 し 、 作 成 し た アプ リケーション を 選択 し ます 。 


Role @ 

Reader ン 
Assign access to で 

Azure AD user, group. or application ン 
Select ゆ 

Azure connector マン 


Selected members 


Azure connector 
TA Remove 


6) 「Save」 を クリ ッ ク し 、 ロ ー ル の 割り 当て を 終了 し ます 。 ア プリ ケー ショ ン は 、 ロ ー ル の スコ ー プ で ロー 
ル に 割り 当て られ て いる ユー ザ の リス ト に 表示 され ます 。 


15 


Securing Microsoft Azure with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


7) 確認 し た サブ スク リプ ショ ン ID を コピ ー し 、「Qualys Azure Connector」 画面 の コネ クタ の 詳細 情報 に 
貼り 付け 、「Create Connector」 を クリ ッ ク し ます 。 


Azure コネ クタ の 動作 


アセ ッ ト 検 出 : Azure コネ クタ は 、 継 続 的 な 同期 メカ ニズム を 使用 し て 、 ク ラウ ド で アセ ッ ト 検 出 を 実行 し 
ます 。 コ ネ ク タ は 、4 時 間 ご と に Azure アカ ウン ト と 同期 し 、 す べ て の 仮想 マシ ン か ら 情 報 を 収集 し ます 
(コネ クタ の 実行 後 、 仮想 マン シン の 終了 が 判明 し た 場合 、 コ ネ ク タ は その よう な 仮想 マシ ン を “DELETED ” 
状態 と し て 記憶 し ます )。 


Azure は 、 終 了 し た 仮想 マシ ン を 約 15 分 間 し か 保持 し ませ ん 。 た だ し 、Qualys は 、 終 了 し た すべ て の 仮想 
マシ ン の レコ ー ド と 詳細 を 保持 し ます 。 


アセ ッ ト の 同期 : Qualys アカ ウン ト に アセ ッ ト を 追加 し ます 。 エ ラー の ある アモ セッ ト (除外 され た アセ ッ 
ト な ど ) 以外 の すべ て の アセ モット が Qualys アカ ウン ト に 追加 され ます 。 


イン ボー ト し た アセ ッ ト の 表示 
(⑲ ouolys 


AssetView マ 


ダッ シュ ボー ド アセ ッ ト テン プレ ー ト コネ クタ 


本 ビン ルミ 王 較 計 請 | AZURE 


モン アア の カル Azure コネ クタ を 作成 フィ ル タ を 切り 益 え 0-000 連 大 て 
名 前 向 ュー = co 
名 前 サブ スク リプ ショ ン ID 前 回 の 同期 。 マ エラ ー 
⑳ AzureQualys-Demo EE 25 mnutesago 
ステ ー タ ス 8 CV380-Enggz 26 minutes eg 
= 
待ち 行列 内 人 ⑳ QualysAzure Demo i an hour ago 
画 に © Qualys Soluions Architects に H 4 hours ago 
EE 完了 © Azure GovCioud PMSA ーー 4 hours ago 
口 完了 (エラ ー あ り ) ご 
ロロ 無効 
自動 的 に アク ティ ブ 化 され た モジ ュ 
ー ル 
wm 
rc 


Azure コネ クタ の 作成 が 終了 する と 、 コ ネ ク タ は 仮想 マシ ン か ら 情 報 の 収集 を 開始 し ます 。 コ ネ ク タ の 実 ? 
が 完了 し た と き に 表示 され る 各種 の 情報 に つい て 説明 し ます 。 


@ アセ ッ ト 数 - 「 ア セッ ト 数 」 カ ラム に は 最後 の Azure コネ クタ の 実行 で 検出 お よび 同期 され た アセ ッ 
ト の 数 が 示さ れ ま す 。 


され た アセ モッ ト 数 は 、Qualys で 正常 に 処理 され た アセ ッ ト の 数 を 示 し ます 。 


[2 同期 され た アセ ッ ト - 「 ア セッ ト 数 」 カ ラム の 緑色 の 部 分 は 、 同 期 さ れ た アセ ッ ト を 表し ます 。 同期 


アセ ッ ト の 表示 - その 期間 に コネ クタ に よっ て 検出 され た アセ ッ ト の 総数 で す 。 
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「 ア セッ ト 数 」 カ ラム に は 、 エ ラー の ある アセ ッ ト を 示す 赤色 の 部 分 が 示さ れる こ 
E 中 に 問題 が 発生 し た アセ ッ ト の こと で す 。 


コネ クタ に よっ て 収集 され た アセ ッ ト は 、「AssetView」 に 移動 する と 表示 され ます 。「 ア セッ ト の 詳細 」 ペー 
ジ の 「Azure VM 情報 」 タブ に は 、 収集 され た Azure イン スタ ンス の メタ デー タ が 表示 され ます 。 次 に 示す 
の は 、 収 集 し た 情報 を 示す スク リー ン シ ョ ッ ト の 例 で す 。 


表示 モー ド Azure VM 情報 


アセ ッ ト の サマ リ 

General: 
シス テム 情報 
エー ジェ ント の 概要 
Windows 
Standard_DS1_v2 
WindowsServer 


ネッ トワ ー ク 情報 


MicrosoftWindowsServer 
ン : 17763.805.1910061628 


オー プン ボー ト 


イン スト ー ル 済 ソ フト ウェ ア 
eastus 


SE :  AJM-Testing 


Threat Protection RTls VM ステー タス : RUNNING 


コッ プラ イア ンス 


File Integrity Monitoring プラ イベ ー ト P ア ドレ ス , 172.16.2.4 


パブ リッ ク ip ア ドレ ス : 40.117.182.247 
Indication of Compromise HAG 000D3A8B612F 
サブ ネッ ト : 172.16.20 
アラ ー ト 通知 
Azure VM タグ : 
oemae 」 


Patch Management 


閉じ る 


Azure 仮想 マシ ン の 検出 が 完了 する と 、Microsoft Azure イン フラ ス 
ティ を 保護 する 準備 が 整っ た こと に な り ま す 。 


Azure メタ デー タ 


ラク チャ を スキ ャ ン し て セキ ュ リ 


この 項 で は 、Qualys Cloud Agent、AssetView コネ クタ 、Qualys Scanner が 提供 する クラ ウド プロ バイ ダ 


メタ デー タ に 関す る 情報 に つい て 説明 し ます 。 


AssetView コネ クタ お よび Qualys Cloud Agent メタ デー タ 


General: 

- VM ID (compute.vmld) 

- VM Name (compute.name) 

- Platform /OS Type (compute.osType) 

- Size (compute.vmSize) 

- Image Offer (compute.offer) 

- Image Publisher (compute.publisher) 

- Image Version (compute.vers1on) 

- Subscription ID (compute.subscriptionld) 


- Location (compute.location) 


17 


- Resource Group Name (compute.resourceGroupName) 


- VM State (QCA デ 


Network: 


タ 収 


の た め の 実 行 の み ) 
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- Private IP Address (network.interface.ipv4.ipaddress.privatelpAddress) 


- Public IP Address (network.interface.ipv4.ipaddress.publiclpAddress) 


- MAC Address (network.interface.macAddres) 


- Subnet (network.interface.ipv4.subnet.address) 


Azure VM Tags: 


- LifeCycle (compute.tags) 


- Owner (compute.tags) 


- Department (compute.tags) 


TAM-Demo-VM-05 


表示 モー ド 
アセ ッ ト の サマ リ 
シス テム 情報 
エー ジェ ント の 概要 
ネッ トワ ー ク 情報 
オー プン ボー ト 
イン スト ー ル 済 ソ フト ウェ ア 
脆弱 性 
Threat Protection RTis 
コン プラ イア ンス 
File Integrity Monitoring 
Indication of Compromise 
アラ ー ト 通知 


Azure VM 情報 


Patch Management 


閉じ る 


Azure VM 情報 


VMID 

VM 名 : 

プラ ッ ト フ ォ ー ム : 
サイ ズ : 
イメ ー ジ の 提供 : 

イメ ー ジ 公開 者 : 

イメ ー ジ バー ジョ ン : 
サブ スク リプ ショ ン ID: 
ロケ ーション: 


リソー スグ ルー プ 名 : 
VM ステ ー タ ス 


ネッ トワ ー ク : 


プラ イベ ー ト IP アド レス : 


バブ リッ ク IP ア ドレ ス : 
MAC アド レス : 
サブ ネッ ト : 


Azure VM タグ : 


LifeCycle 
Owner 


Department 


TAM-Demo-VM-05 
Linux 
Standard_B1s 
CentOS 
OpenLogic 
7.2.20170517 


RUNNING 


10.0.1.0 


05152020 


Product Manaqement 
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スキ ャ ナメ タデ ー タ 


Azure Linux 仮想 マン シン で の 認証 スキ ャ ン の スキ ャ ナメ タデ ー タ - QID 45389 


Computer: 
- azEnvironment 
- location 
- name 
- offer 
- osType 
- PlacementGroupld plan 
- name 
- product 
- publisher 
- platformFaultDomam 
- platformUpdateDomam 
- ProviderpublicKeys 
- keyData 
- path 
- Dublisher 
- resourceGroupName 
- sku 
- subscriptionld 
- tagS 
- version 
- vmld 
- vmScaleSetName 
- VImSize 
- Zone 
Network Interface ipv4: 
- jpAddress 
- PrivatelpAddress 
- publiclpAddress 
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- subnet 

- address 

- prefix 
Network Interface ipv6: 
- jpAddress 


- macAddress 


Securing Microsoft Azure with Qualys 
自動 アセ ッ ト イ ン ベ ン トリ 


アセ ッ ト を 検出 する た め に Azure コネ クタ に よっ て 使用 され る Azure 


API 


Qualys は 、Azure API を 使用 し て 、 サ ブス クリ プシ ョ ン の すべ て の リソー スグ ルー プ を 取得 し 、 指 定 さ れ 
た リツ ー ス グル ー プ の すべ て の 仮想 マシ ン を リス ト 表 示 し ます 。 


リソー スグ ルー プ - リス ト 


https://docs.microsoft.com/ja-jp/rest/ap1/resources/resourcegroups/list 


仮想 マシ ン - リ スト 


https://docs.microsoft.com/ja-jp/rest/api/compute/virtualmachines/list 


Azure コネ クタ 用 Qualys API 


Azure コネ クタ の 各種 の 操作 は 、API 経 


で も 実行 で きま す 。Azure に 関連 する Qualys API の 使用 の 詳 


に つい て は 、『Asset Management and Tagging API v2 User Guide』 (PDF、 英 語 ) を 参照 し て くだ さい 。 


以下 に 便利 な Azure コネ クタ API を いく つか 示し ます 。 


Azure コネ クタ の 作成 


https://qualysapi.qualys.com/qps/res2.0/create/am/azureassetdataconnector 


ホス ト の アセ ッ ト 情 報 の 取得 (Azure イン スタ ンス の メタ デー タ の 取得 ) 
https://qualysapi.qualys.com/qps/res/2.0/get/am/hostasset/<1d> 
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Azure 環境 で の スキ ャ ン 


まず ネッ トワ ー ク の 基本 用 語 に つい て 説明 し ます 。 


VNet: Azure Virtual Network (VNet) は 、 ク ラウ ド 内 の 独自 ネッ トワ ー ク を 表し ます 。 こ れ は 、 サ ブス ク 
リプ ショ ン 専 用 の Azure クラ ウド の 論理 的 分 離 で す 。 作 成す る 各 VNet に は 独自 の CIDR ブロ ッ ク が あり 
ます 。 CIDR ブロ ッ ク が 重複 し な い 限 り 、 他 の VNet お よび オン プレ ミス の ネッ トワ ー ク に リン ク で きま す 。 


VNet ピア リン グ : Azure バッ クボ ー ン ネッ トワ ー ク を 通じ て 、 同 じ リ ー ジ ョ ン 写 別 の リー ジョ ン 内 の 2 つ 
の 仮想 ネッ トワ ー ク (VNet) を 接続 する メカ ニズム で す 。 ピ アリ ング 接続 され る と 、 2 つの 仮想 ネッ トワ ー 
ク は 、 す べ て の 接続 目的 に 対応 する 1 つの 仮想 ネッ トワ ー ク と し て 表示 され ます 。 


1 つの VNet、1 つの リー ジョ ン 


スキ ャ ナ は 、 HTTPS 経由 (ネッ トワ ー ク セキ ュ リ ティ グル ー プ 経由 お よび 適切 な ルー ティ ング ) で Qualys 
クラ ウド プラ ッ ト フ ォ ー ム に 接続 する 必要 が あり ます 。 


Qualys Cloud ! Le] 
Platform 6 


Westus 


サブ スク リプ ショ ン A | 
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1 つの VNet、1 つの リー ジョ ン 、 複 数 の スキ ャ ナ 


仮想 マシ ン の 数 と スキ ャ ン の 頻度 に よっ て は 、1 つの VNet で 複数 の マシ ン を スキ ャ ン す る の に 複数 の ス 
キャ ナ が 必要 に な る 場合 が あり ます 。 必 要 に 応じ て 、 ス キャ ナ を 追加 で きま す 。 


スキ ャ ナ は 、 HTTPS 経由 (ネットワーク セキ ュ リ ティ グル ー プ 経由 お よび 適切 な ルー ティ ング ) で Qualys 
クラ ウド プラ ッ ト フ ォ ー ム に 接続 する 必要 が あり ます 。 


Qualys Cloud 
Platform 


Westus ! 
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複数 の VNet、1 つの リー ジョ ン 


1 つの スキ ャ ナ が 、 ピ アリ ング 接続 され た VNet の 複数 の 仮想 マシン ン に アク セス で きま す 。 マ シン の 数 と ス 
キャ ン の 上 顔 度 に よっ て は 、1 つの リー ジョ ン 内 の ピア リン グ 接 続 さ れ た VNet 間 で 複数 の 仮想 マシ ン を ス 
キャ ン す る の に 複数 の スキ ャ ナ が 必要 に な る 場合 が あり ます 。 


スキ ャ ナ は 、HTTPS 経由 (ネッ トワ ー ク セキ ュ リ ティ グル ー プ 経 貼 お よび 適切 な ルー ティ ング ) で Qualys 
クラ ウド プラ ッ ト フ ォ ー ム に 接続 する 必要 が あり ます 。 


ーー ニーーーー ニ ーーーー ニ ーーーーー ニ ーーーー ニ ーーーーー ニ ーー ニーーーー ニ ーーーー ニ ーーーーーー ニ ーーーーーーー ニ ーーーー ニ ーーーー ニ ーーー ニ ーーー! 


Qualys Cloud 
Platform 


VNet ピア リン グ 


Westus ! 
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複数 の VNet、 複 数 の リー ジョ ン 


Azure で は 、 リ ー ジ ョ ン 間 で VNet の ピア リン グ が 可能 な の で 、1 つの スキ ャ ナ が 複数 の リー ジョ ン の 複数 
の VNet の 仮想 マシ ン に アク セス で きま す 。 マ シン の 数 と スキ ャ ン の 上 疾 度 に よっ て は 、 複 数 の リー ジョ ン の 
ピア リン グ 接 続 さ れ た VNet 間 で 複数 の 仮想 マシ ン を スキ ャ ン す る の に 複数 の スキ ャ ナ が 必要 に な る 場合 
が あり ます 。 


スキ ャ ナ は 、HTTPS 経由 (ネッ トワ ー ク セキ ュ リ ティ グル ー プ 経由 お よび 適切 な ルー ティ ング ) で Qualys 
クラ ウド プラ ッ ト フ ォ ー ム に 接続 する 必要 が あり ます 。 


VNet ピア リン グ 


VNet ピア リン グ 


VNet ピア リン グ 


CentralUs 


Vnet1 < 


Qualys Cloud Platform 
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ピア リン グ 接 続 さ れ て いな い VNet 


VNet が ピア リン グ 接 続き され て いな い 場 合 、 ス キャ ナ の アク セス 能 


Securing Microsoft Azure with Qualys 
Azure 環境 で の スキ ャ ン 


は 低下 する た め 、 ピ アリ ング 接続 され 


て いな い VNet の 仮想 マシ ン に は アク セス で きず 、 ス キャ ン を 開始 で きま せん 。 


スキ ャ ナ は 、HTTPS 経由 (ネッ トワ ー ク セキ ュ リ ティ グル ー プ 経 | 


クラ ウド プラ ッ ト フ ォ ー ム に 接続 する 必要 が あり ます 。 


Vnet1 “> 


VNet ピアリング 


OR 


Qualys Cloud Platform 
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』 を こっ 


お よび 適切 な ルー ティ ング ) で Qualys 


CentralUs 


セン サ の 配置 


Securing Microsoft Azure with Qualys 
セン サ の 配置 


Qualys クラ ウド プラ ッ ト フ ォ ー ム の 中 核 的 な が サー ビス で ある Qualys セン サ を 使用 する と 、 グ ロー バル な 企 
業 全体 に 対し て セキ ュ リ ティ を 容易 こ 拡張 する こ it セン サ は 、 リ モー ト か ら の 配置 と 一 元 管理 
が 可能 で あり 、 自 己 更新 機能 を 備え て いま す 。 セ ン サ に 、 デ ー タ が 収集 され 、Qualys クラ ウド プラ ッ 
フォ ー ム に 自動 的 に 送信 され ます 。Qualys クラ ウ 0 ト フ ォ ー ム に は 、 人 脅威 を 特定 し て 脆弱 性 を 除 
示す る た め に 、 情 報 の 分 析 と 相関 付け を 継続 的 に 行う 計算 処理 能力 が 備わっ て いま す 。 
スキ ャ ン を 行う 前 に 、 セ モン サ を 配置 する 必要 が あり ます 。 設定 に 応じ て 、 事前 認証 済み の Scanner Appliance 
を 配置 する こと も 、 Cualvs Cloud Agent を 配置 する こと も で きま す 。 この よう な セン サ の 配置 に 関す る 手 
順に つい て 、 詳 し く 説 明 し て いき ます 。 


Azure プラ ッ ト フ ォ ー ム へ の スキ ャ ナ の 配置 


プラ イベ ー ト ク 


Qualys Cloud Agent の 配置 


アプ リケーション : VM、 


アプ リケーション :CA ( 必 


アプ リケーション : VM、 


Virtual Scanner Appliance 
ネッ トワ ー ク (ホスト と アプ リケーション ) を 横断 する リモ ー ト スキ ャ ン 


PC、SCA 


Cloud Agent 
継続 的 な セキ ュ リ ティ 表示 と 追加 の セキ ュ リ ティ ソリ ュー ショ ン の プラ ッ ト フ ォ ー ム 


用 
須 ) 、 


イン ター ネッ トス キャ ナ 
ネッ トワ ー ク 境界 と 接する IP お よび URL の ペリ ミ 


PC、SCA 


ラウ ド プ ラッ ト フ ォ ー ム へ の スキ ャ ナ の 配置 


M、PC、SCA 
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Azure プラ ッ ト フ ォ ー ム へ の スキ ャ ナ の 配置 


コス ト と ライ セン ス 
Qualys Virtual Scanner Appliance は 、Azure Marketplace か ら イ メー ジフ ァイル と し て 入手 可能 で 、Azure 


仮想 マン シン で の 起動 に 対応 し て いま す 。 


スキ ャ ン 


以下 の 2 点 を 考慮 する 必要 が あり ます 。 


- Virtual Scanner ライ セン ス の サブ スク リプ ショ ン に 対す る Qualys の コス ト 


- アプ ライ アン ス を 仮想 マシ ン と し て 実行 する た め の コ ン ピ ュ ー テ ィング リソー ス ( 


E で きる イメ ー ジ 、 ま た は ダウ ン ロ ー ド 可能 な Azure 固有 の イメ ー ジ を 入 
ー ジ の み を 使用 


エマ 


て くだ さい 。 


生 記 : Azure Marketplace か ら 入 ヨ 
手 で きる よう Qualys が 提供 する 署名 付き URL か ら 入 ヨ 
Qualys UI か ら ダ ウン ロー ド し た イメ ー ジ を Azure で 使 
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FE で きる イメ 


こ 対 する Azure の コス ト 


し て いる こと を 確認 し 


] す る こと は 指 


E 奨 し て いま せん 。 


Securing Microsoft Azure with Qualys 
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Qualys の コス ト 


実行 する Virtual Scanner Appliance の 各 イ ンス タン ス に 対し て Qualys ライ セン ス を 取得 する 必要 が あり ま 
す 。 こ の ライ セン ス は 、Azure で は な く Qualys か ら 取 得 さ れ ま す 。 そ の た め 、 当 社 の Scanner Appliance 
は 、Azure Marketplace に BYOL (つま り 、“ 自分 の ライ セン ス を 使用 する ”) モデ ル と し て 掲載 され て い 
ます 。Qualys クラ ウド プラ ッ ト フ ォ ー ム の UI で 定義 する Qualys Virtual Scanner Applance の 各 プ ロフ ァ 
イル で 、Virtual Scanner Appliance の ライ セン ス を 1 つ ず つ 使 用 し ます 。Qualys の サブ プス クリ プシ ョ ン な か 
ら Virtual Scanner Appliance の プロ ファ イル を 削除 する と 、 そ の ライ セン ス は 解放 され て 、 す ぐに 再 利用 で 
きる よう に な り ま す 。 料金 の 見 積 り また は 評価 の 依頼 に つい て は 、Qualys の テク ニカ ル ア カ ウン トマ ネー 
ジャ また は Qualys 代理 店 まで お 問い 合わ せく だ さい 。 


Azure の コス ト 


各 Virtual Scanner Appliance に 対し て 、 仮 想 マ シン は 、Azure サブ プス クリ プシ ョ ン の 1 つ で 開始 され ます 。 
アプ ライ アン ス の 実行 に 対す る Azure の コス ト の 支払 い は 、 お 客 様 の ご 負担 に な が り ま す 。 この コス ト に は 以 
下 が 含 まれ ます 。 


- サイ ズ に 基づい た 計算 処理 能力 
- スト レー ジ - デー タ の 双方 向 の 転送 


イン スタ ンス を 実行 する 場合 、 計 算 処 理 能 力 (CPU や RAM な ど ) に か か る 料金 が 、 大 部 分 を 占め る こと 
に な り ま す 。Scamner Appliance は 常時 実行 する 必要 は な いこ と に 留意 し て くだ さい 。 仮想 マシ ン が 停止 し 
て いる 時 間 に 発生 する の は 、 ギ ガバ イト 単位 で 課金 され る スト レー ジ 料 金 の み に な り ま す 。 前 払い が 可能 な 
場合 、1 年 また は 3 年 分 の 支払 い を 確約 する こと で 、Azure 仮想 マン シン を 保有 し て お く こ と が で きま す 。 た 
だ し 、 ス キャ ナ は ソフ トウ ェ ア と シグ ニチ ャ を 最新 の 状態 に 保つ た め に 、 週 に 数 時 間 は 実行 する 必要 が あり 
ます 。 


スキ ャ ナ の 配置 の 推奨 事項 
イン スタ ンス の スナ ッ プ ショ ッ ト / ク ロー ニン グ 不 可 


新しい イン スタ ンス を 作成 する た め に 、Virtual Scanner イン スタ ンス の スナ ッ プ ショ ッ ト ま た は クロ ー ニ > 
グ を 行う こと は 禁止 され て いま す 。 新しい イン スタ ンス は スキ ャ ナ と し て 機能 し ませ ん 。 す べ て の 設定 内 
と プラ ッ ト フ ォ ー ム の 登録 情報 が 失わ れ ま す 。 こ れ は 、 元 に な っ た スキ ャ ナ の 障害 や エラ ー に つなが る 可 
性 も あり ます 。 


評 層 で 


イン スタ ンス の 移動 / エク スポ ー ト 不可 

仮想 化 プ ラッ ト フ ォ ー ム (HyperV、 VMware、 XenServer) で 登録 済み の スキ ャ ナイ ンス タン ス を Microsoft 
Azure クラ ウド プラ ッ ト フ ォ ー ム ム へ 移動 また は エク スポ ー ト する こと は 、 ど の よう な ファ イル 形式 で あっ て 
b 禁 止 さ れ て いま す 。 こ れ 行う と 、 ス キャ ナ の 機能 が 失わ れ 、 ス キャ ナ は すべ て の 設定 を 完全 に 和 失い ます 。 


スキ ャ ナ を ホス ト す る た め の 仮想 マシ ン の サイ ズ 


Qualys Virtual Scanner Appliance を ホス ト す る 場合 に Qualys が 推奨 する 最大 限 は 、16 CPU お よび 16 GB 
RAM で す 。 ス キャ ン の 頻度 と スキ ャ ン さ れる Azure 仮想 マシ ン の 数 に 応じ て 、 最 大 16 CPU と 16 GB 
RAM まで 拡張 で きま す 。 


必要 事項 


アカ ウン ト で 「Virtual Scanner」 オ プシ ョ ン が 有効 に な っ て いる 必要 が あり ます 。 こ の オプ ショ ン を 有効 に 
する に は 、Qualys の サポ ー ト また は テク ニカ ル ア カ ウン トマ ネー ジャ に お 問い 合わ せく だ さい 。 
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「Manage virtual scanner appliances」 の パー ミッ ショ ン を 持つ マネ ー ジ ャ また は サブ ユー ザ で ある 必要 が あ 


り ま す 。 こ の パー ミッ ショ ン は ユニ ッ ト マ ネー ジャ 


に 付与 する こと も で きま す 。 ス キャ ナ に この パー ミッ 


ショ ン を 付与 で きる よう に サブ スク リプ ショ ン を 設定 する こと が で きま す 。 


Qualys Scanner Appliance の 配置 


Azure Resource Manager の 配置 を 使用 し て 、 Qualys Virtual Scanner Appliance を 配置 する こと で 、Qualys 
クラ ウド プラ ッ ト フ ォ ー ム か ら Microsoft Azure イン フラ スト ラク チャ に アク セス を 拡張 し ます 。 ア プラ イ 
アン ス は 、Qualys クラ ウド プラ ッ ト フ ォ ー ム へ の エク ステ ンション と し て 機能 する ステ ー ト レス リソー ス 


で す 。 設定 する と 、 すべ て の 機能 が Qualys クラ ウド 


プラ ッ ト フ ォ ー ム アカ ウン ト を 使用 し て 管理 され ます 。 


ここ で 、Microsoft Azure Resource Manager (ARM) また は Resource Manager テン プレ ー ト を 使用 し て 、 
Qualys Virtual Scanner Appliance を 配置 する 方 法 に つい て 説明 し ます 。 Qualys Virtual Scanner Appliance 


は 、 配 置 後 、 標 準 の Virtual Scanner と し て 機能 し 、 
で きる よう に な り ま す 。 


クイ ックス テッ プ 


Azure で の リソー スグ ルー プ の 作成 
Azure で の スト レー ジア カウ ント の 作成 


Azure で の 仮想 ネッ トワ ー ク の 作成 


Qualys へ の 新しい Virtual Scanner の 追加 


IP アデ ドレ ス ま た は CIDR ブロ ッ ク に 基づい て スキ ャ ン 


ARM (Azure Resource Manager) を 使用 し た Azure の スキ ャ ナ 設 定 


Resource Manager テン プレ ー ト を 使用 し た Azure の スキ ャ ナ 設 定 


Azure で の リソー スグ ルー プ の 作成 


お 使い の Qualys Virtual Scanner に 対し て 、1 つの ロケ ーション あたり 1 つの リソー スグ ルー プ を 作成 する 


こと を 推奨 し ます 。 リ ソー スグ ルー プ に 、 グ ルー プ の ロケ ーション を 表す わか りや すい 名 前 を 付け ます 。 作 


成 後に 名 前 変更 は で きま せん 。 


「Resource groups」 つ 「Add」 を 選択 し ます 。 リ ソー スグ ルー プ の 名 前 を 指定 し 、 リ ソー スグ ルー プ に 関連 


付け る サブ スク リプ ショ ン と ロケ ーション を 選択 し ます 。「Create」 を クリ ッ ク し ます 。 


中 pashboard 


| を 


All resources 1 


@% 


| Resource groups 


RR 


App Services 


Function Apps 


リソー スグ ルー プ の 


寺 sQLdatabases 詳細 を 指定 し ます 


る 


FE Azure Cosmos DB 


9 
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Azure で の スト レー ジア カウ ント の 作成 


Qualys Virtual Scanner の スト レー ジア カウ ント が まだ な い 場 合 は 、 作 成す る 必要 が あり ます 。「AII 
resources」 つ 「Add」 一 「Storage Account」 を 選択 し ます 。 


All resources 


Create a resource 


All services 


Azure Marketplace Seeall 


Dashboard 
Get started 

All resources EE 

Resource groups Compute 
App Services 

Function Apps 

Veb 

司 soLdatabases Aobile 


/ Azure Cosmos DB 


くう 》 


virtualmachines 
Load balancers 


| Storage accounts 


Virtual networks 


Azure Active Directory 


Monitor 


Advisor 


Security Center 


Cost Management + Biling 


Help + support 


加 加 加 加 加 @ 還 屯 欠 賠 四 9@3 


1) Microsoft Azure の ガイ ドラ イン に 従っ て 、 ス ト 
レー ジア カウ ント に 名 前 を 付け ます 。 後 で 名 前 を 変 
更 す る こと は で きま せん 。 


2) 配置 3 


E デ ル の 「Resource manager」 を 選択 し ます 。 


3) リツ ソー スグ ルー プ の 「Use existing」 を 選択 し 、 
作成 し た リソー スグ ルー プ を 選択 し ます 。 


Popular 


Windows Server 2016 VM 


Quickstart tutorial 


Ubuntu Server 17.10 VM 


Leam more 


Web App 
Quickstart tutonal 


SQL Database 
Quickstart tutorial 


Serverless Function App 


Quickstart tutorial 


Cosmos DB 
Quickstart tutorial 


Kubernetes Service 

Quickstart tutorial 
DevOps Project 
Quickstart tutonal 


J 


recently created items 


Create a resource 


All services 


則 Dashboard 


All resources 


Resource groups 
App Services 
Function Apps 


直 sQLdatabases 


7 Azure Cosmos DB 


Virtual machines 


Load balancers 


storage accounts 
Virtual networks 
Azure Active Directory 
Monitor 


Advisor 


Nata Laka Storaaa Gan? (nraviaw 


Secunity Center 
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Azure で の 仮想 ネッ トワ ー ク の 作成 


Qualys Virtual Scanner に 仮想 ネッ トワ ー ク が まだ 設定 され て いな い 場 合 は 、 新 し い 仮 想 ネ ットワーク を 作 
成 し ま す 。 


1) ネッ トワ ー ク に 名 前 を 付け ます 。 ネ ッ ト 
ワー ク の 場所 が わか る よう に 、 名 前 に ロケ ー 
ショ ン を 含め る こと を お 勧め し ます 。 


Create a resource Virtual networks « “ X Createvirtualnetwork x 


Dashboard ME 


2) リソー スグ ルー プ の 「Use existing」 を 選 
択 し 、 最 初 の 手順 で 作成 し た グル ー プ を 選択 
し ます 。 


で "> awest-vnet 
All resources 


ぐ "》 az-cw360-engg-eastus-vn01-2849 
Resource groups 
ぐ " ツ DefaultResourceGroup-CIN-vnet 


8 App Services ぐ ツ QANSGroup-vnet 


Function Apps «>» Qatemp-vnet 


ぐ > uswestgroup-vnet 


埋 sQLdatabases 


ぐ ツ west_group-vnet 


< 革 Azure Cosmos DB 
OO Virtual machines 


Load balancers 


Storage accounts 


Virtual networks 


pAzure Active Directory 


Monitor 
Advisor 
WSecurity Center 
©) Cost Management + Billing 
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ーー 


Qualys へ の 新しい Virtual Scanner の 追加 
Qualys クラ ウド プラ ッ ト フ ォ ー ム に Virtual Scanner を 作成 し 、 わ か りや すい スキ ャ ブナ 名 を 割り 当て 、 正 確 
な 個人 設定 コー ド を 記録 し ます 。 


Qualys アプ リケーション ピッ カー か ら VM/VMDR また は PC を 選択 し ます 。「Scans」 一 「Appliances」 に 
移動 し 、「New」-ー「Virtual Scanner Appliance」 を 選択 し ます 。 


VMDR マ 


Dashboard  Vulnerabilities Prioritizattion Scans Reports Remediation 


(③ ScanS | Scans ME Schedules Appliances Option Profiles 


New w || Search 


Scanner Appliance... 


ie - Personalization Code 
Virtual Scanner Appliance.… 。 
Replace Scanner Appliance.… Internal network scanning requires a scanner appliance. Add a scanner ap 


Download. 
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II have My Image」 を 選択 し 、「Continue」 を クリ ッ ク し ます 。 


You have 2 virtual scanner license(5) available. Choose one of the options below to get started 


Get Started Download Image 1Have My Image 


Only 


Help me to select the right | want to download the Tm ready to complete the 
virtual image and configure wirtual image now and 


configuration of my scanner- 
my scanner configure my scanner later 


名 前 を 入力 し て 、「Next」 を クリ ッ ク し ます 。 
Add New Virtual Scanner 


Name Your Virtual Scanner 


Virtual Scanner Name 
My-Scanner 


サブ ニ ユーザ の 場合 は 、 マ ネー ジャ ユー ザ が サブ ユー ザ の ビジ ネス ユニ ッ ト に 割り 当て られ て いる アセ ッ ト グ 
ルー プ を 選択 する 必要 が あり ます (下記 参照 ) 。、 ア セッ トグル ー プ が 表示 され な い 場 合 は 、 ビ ジネス ユニ ッ 
ト の マネ ー ジ ャ に アセ ッ ト グ ルー プ (「All」 グ ルー プ 以 外 の ) を 割り 当て る よう 依頼 し て くだ さい 。 


Add New Virtual Scanner し 


Name Your Virtual Scanner 


Virtual Scanner Name も 
My-Scanner 


Choose an Asset Group 
Data Center トノ 


BG 
上 
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Virtual Scanner 画面 に 表示 され る 指示 に 従っ て 、Virtual Scanner を 設定 し ます 。 「Next」 を クリ ッ ク し ます 。 


Add New Virtual Scanner x 


Configure Your Virtual Scanner Locally a 


These are steps that you need to complete on your system, outside the Qualys Cloud Platform. 


Deploy your virtual scanner 

Start the virtualization platform 

Launch the Qualys virtual scanner machine. Once you see the console you are 
ready to proceed 


Qualys virtual scanner machine console 


mm 


@ QuAtyy' 


PR v 


Activate Your Virtual Scanner 


Configure your scanner and activate it using the personalization code below. For more 
help, review the configuration guide for step-by-step instructions. 


Virtual Scanner Name 


My-Scanner 
Personalization Code 


15 和 0g) | Need relo confguring your vitual scanner? 
See How To steps at the Qualys Community 


Enter your personalization code 


固 人 設定 コー ド を 取得 し ます 。 Azure の 設定 に は これ が 必要 で す 。 


ARM (Azure Resource Manager) を 使用 し た Azure の スキ ャ ナ 設 定 


マー ケッ ト プ レ イス で Qualys Virtual Scanner Appliance を 見 つけ て 選択 し ます 。 


Create a resource Everything 


All services ¥ Fiter 


) Qualys Virtual Scanner Appliance 


Dashboard 

Results 
All resources 

NAME PUBLTSHER 
Resource groups 

@⑨ Qualys Virtual Scanner Appliance Qualys Inc 


App Services 


Funchon Apps 


に SQL databases 
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画面 上 の 要件 を 確認 し ます 。 続行 する 場合 は 、「Create」 を クリ ッ ク し て Virtual Scanner を 設定 し ます 。 


Create a resource ( ) Qualys Virtual Scanner Appliance = | | 


All services 
Bring Your Own license enabled. 


Extend the reach of the Qualys Cloud Security Platform to your Micre 


Dashboard 


All resources 


Resource groups 


btained from your Q 


App Services i 
PP able to reach the Qualys Cloud Platform 


Function Apps 


sal databases 


Build: qvS/ 


7 Azure Cosmos DB 


For deplgyment information and help, please visit Qualys Community (keyword: azure) at 


community.qualyscom/welcome 
Virtual machines 


Load balancers 


Storage accounts 
Virtual networks 
pAzure Active Directory 
隊 Monitor 
Advisor 


Security Center 
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ヽ = ルル ビー 
以下 を 設定 し ま す 。 Create virtual machine x [:E ロ a3 = し < 


1) Virtual Scanner に 名 前 を 付け ます 。 こ れ は 、 


Microsoft Azure の 仮想 マシ ン ン リス ト に 表示 され 1 IE | EE ン 
る 名 前 で す 。 | Nanee 
ヒン ト - 識別 し や すい よう に 、Qualys Virtual 2 | 
Scanner に 割り 当て られ た スキ ャ ナ 名 を 使用 し | < 
ます 。 3 | 
| 
2) ユー ザ 名 は 、Qualys プラ ッ ト フ ォ ー ム か ら 取 | 
得 し た 、“ u ” で 始ま る 個人 設定 コー ド で す | 4 | こ 
(u2009XXXXXXXXXX)。 | 6 
3) リソー スグ ルー プ の 「Use existing」 を 選択 | 
し 、 最 初 の 手順 で 作成 し た グル ー プ を 選択 しま | < 
す 。 | (O Create new (@) Use existing 
| Qualys-Scanners-In-East-Australia ン 
| 。 
| 
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Qualys Virtual Scanner は 、 ロ ッ ク ダ ウン され た Linux アプ ライ アン ス で あり 、Qualys クラ ウド プラ ッ ト 
フォ ー ム に 完全 に 管理 され て いま す 。 そ の た め 、Azure の ユー ザ 名 、 パ スワ ー ド 、 お よび SSH パブ リッ ク 
キー は 、 認 証 に は 使用 され ず 、Azure クラ ウド か ら ア プラ イア ンス に 設定 情報 を 渡す メカ ニズム と し て 使用 
され ます 。 


- Azure の パス ワー ド に 次 の 特殊 文字 は 使 


1] で きま せん 。: @ &<> - " 


- “ proxy://[user:password@]IP[:port] "URL の よう な パス ワー ド を 使用 する と 、Qualys Virtual Scanner が 
Qualys クラ ウド プラ ッ ト フ ォ ー ム と の すべ て の 発信 接続 に SSL プロ キシ を 使用 する よう 設定 で きま す 。 


Virtual Scanner の サイ ズ (最大 16 コア 、 最 大 16 GB) を 選択 し ます 。1 コア あたり 3 て 4GB の メモ リ を 
推奨 し ます 。 デ ー タ ディ スク の 数 、 最 大 IOPS、 ロ ー ド バラ ン シ ン グ な ど 、 そ の 他 の スト レー ジ 設 定 は 無視 
で きる た め 、 考慮 する 必要 は あり ませ ん 。 例 えば 、 デ ィ ス クオ プシ ョ ン は スキ ャ ナ の パフ ォ ー マ ンス に 大 き 
な 影響 を 与え ませ ん 。 


Create virtual machine Choose a size 


云 Recommended | View al 


EEE A2 Standard 


Cores 2 cores 


1 Basics ン 


Done 


2 Size > 


4 
oase ri inmate is Bata disks Data disks Sri 
2x500 3 4x300 る ) 4x500 
Max IOPS Max IOPS Max IOPS 
3 Load balancing $$ Load balancing 
FZ Auto scale EZ Auto scale 


Qualys Virtual Scanner の 前 述 の 手順 で 作成 し た 正しい ス 
トレ ー ジ アカ ウン ト と ネッ トワ ー ク を 選択 し て くだ さい 。 
Azure エク ステ ンション お よび アベ イラ ビリ ティ セッ ト 
は 使用 し ませ ん 。 


Create virtual machine 


* Somge sccount > Virtual Scanner の 設定 を 確認 し て 、「OK」 を クリ ッ ク し 


qualysscannersbrazils 
se ます 
2 9 Network 5 
Done 


* Virtual network @ 


3 N VNet-1_in_Brazil South 「Offer」 の 詳細 を 確認 し 、 「Purchase」 を ク リ ング グ し ます 。 
Configure optionalfeatures + subnete a Virtual Scanner が Microsoft Azure の 仮想 マシ ン リ スト 
default (10.9.0.0/24) ee 
に 表示 され ます 。 


4 * Public IP address @ 
(new) GA-qVSA-2-3-23-1-Brazi-1 


ul 
5 A-2-3-23-1-Brazil-1 


Extensions 


Extensions © 


No extensions 


Availability 


* Availability set © 
None 


[EE 
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Qualys Virtual Scanner Appliance が Microsoft Azure ダッ シュ ボー ド に 表示 され ます 。 


Open dashboard (D) 


DERelereElge B00 生 enoer 0 Edit dashboard 


New 


All resources Service health 


ga-test-in-ed-subnet 
ALL SUBSCRIPTIONS MY RESOURCES 


Resource groups 


All resources 還 ubuntu-ed-test2393 


Marketplace 時 ubuntu-ed-test114 


時 ga-test-in-ed-subnet $s 
IN Running 
折 | public-ip-address-ed 
Storage accounts | ubuntu-ed-test 
Recent Ls | ga-test-in-ed-subnet 
“> virtual-network-ed-te a | 
Cloud services (classic) 


g ubuntu-ed-test 


宙 Virtual machines 


Marketplace Help + support Deploying Qualys Virtual 
Virtual networks 回 ga-test-in-ed-subnet Scanner Appliance 


Audit Logs 


Virtual Scanner が 更新 され 、Qualys クラ ウド プラ ッ ト フ ォ ー ム に 接続 され ます 。 ロ ケー ショ ン に よっ て 、 
この プロ セス に は 時 間 が か か る 場合 が あり ます 。Virtual Scanner が 接続 され る と 、Virtual Scanner Appliance 
と し て Qualys プラ ッ ト フ ォ ー ム か ら Azure スキ ャ ナ を 使用 で きる よう に な り ま す 。 


Resource Manager テン プレ ー ト を 使用 し た Azure の スキ ャ ナ 設 定 


ここ で は 、Azure CLI と Resource Manager テン プレ を 使用 し て 、Azure に Qualys スキ ャ ナ を 配置 す 
る 方 法 に つい て 説明 し ます 。 


- テ ンプ レー ト は 、 ロ ー カ ルフ ァイル また は 外部 ファ イル (URI 経 貼 で 入手 可能 ) の いずれ で も か まい ませ ん 。 


- Qualys Virtual Scanner Appliance Marketplace サブ プス クリ プシ ョ ン の それ ぞ れ の 新規 バー ジョ ン に 対し 
て 、 一 度 ず つ 「Programmatic deployment」 を 有効 に する 必要 が あり ます 。 


手順 1- プロ グラ ム に よる 配置 を 有効 に する 


Azure UI か ら Microsoft Azure ポー タル を 選択 し 、 新しい 仮想 マシ ン を 追加 し ます 。Azure Marketplace で 
Qualys を 見 つけ ます 。 次 に 、「Want to deploy programmatically? Get started」 リ ンク を クリ ッ ク し ます ( 下 
記 の 図 を 参照 ) 。 次 の 画面 で 、 プ ログ ラム に よる 配置 を 設定 する サブ スク リプ ショ ン に つい て 「Enable」 を 
クリ ッ ク し 、「Save」 を クリ ッ ク し ます 。 


Wat 


ounbs Viniat Scarer asptaccer22 ogee 
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手順 2 - Azure CLI か ら Qualys スキ ャ ナ を 配置 
こち ら か ら Qualys Scanner Marketplace テン プレ ー ト を ダウ ン ロ ー ド で きま す 。 
https://github.com/Qualys/azure-cloud 


ご 自身 の Azure 環境 に 応じ て 、azuredep1oy .parameters .]son ファ イル を 編集 し 、 必要 な パラ メー 
タ を すべ て 設定 し ます 。 次 に 、ARM モー ド で 、 以 下 の Azure CLI コマ ンド を 使用 し て Qualys スキ ャ ナ を 
配置 し ます 。 


azure group deploymen create <NameOfExistingResourceGroup> 
<NameOfQualysScanner> -£ <PathToTemplate> -e <PathToParameterFile> 


Virtual Scanner が 使用 で きる 状態 で ある か を 確認 する 方 法 


Qualys で Virtual Scanner の 状態 を 確認 し ます 。「VM/VMDR」 つ 「Scans」 つ 「Appliances」 を 選択 し て 、 
リス ト で スキ ャ ナ を 見 つけ ます 。 


ヒン ト - 新しい アプ ライ アン ス の 追加 後 、Qualys ソリ ュー ショ ン の ユー ザイ ンタ フェ ー ス に 追加 が 反映 さ 
れる まで に は 数 分 間 を 要する こと が あり ます 。 最 新 の 詳細 を 表示 する に は 、 ブ ラウ ザ の 表示 を 定期 的 に 更新 
し ます 。 


(③) Scans Scans Maps Schedules Appliances Option Profiles Authentication Search Lists Setup 
New v. | | Searen | 

Appliance ID LANIP WANIP LANIPv6 Polling 
GA-Brazil-1 15389985402286 10.9.0.5 ー 180 seconds 
syLmay9-1 15377380744384 10.0.0.49 ー 180 seconds 
syl-may9-6 15307125196697 10.240.0.17 一 180 seconds 

つ is_quays_sg7 0 172.16.0.170 10.15.254.170 60 seconds 
syl-may6-3 15319517022934 10.0.0.48 ー 180 seconds 
sy-may24-2 15356249714027 10.100.14.147 一 30 seconds 


瞬 テイ コン が 表示 され て いる 場合 は 、Virtual Scanner の 準備 は 整っ て いま す 。 こ の 時 点 で 内 部 スキ ャ ン を 
開始 で きま す 。 
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スキ ャ ナ の 問題 を 解決 する 方 法 


「Boot diagnostics」 を 有効 に し ます 。「Diagnosticsj」 に は 、 ス キャ ナ か ら の ログ 出力 が 含ま れ ま す 。「Status」 
を 「On」 に 設定 し 、 Qualys スキ ャ ナ で 作成 し た スト レー ジア カウ ント を 選択 し 、「Boot diagnostics」 チェッ 


クボ ックス を オン に し 、「Save」( 設 定 の 上 に 表示 ) を クリ ッ ク し ます 。 


gakimov@qual 
DEFAULT DIRECTORY (DEVPAS 


8 ②③ ② 


2 1-Brazil-1 > Settings > Boot diagnostics >» Diagnostics の 


IP)ETelteci(e 


| 


Allre 


i Boot diagnostics isn't configured for this virtual machine. Click here to enable it or 還 軒 


Marketplace 


* Storage Account 
Virtual machines ge Acc 


qualysscannersbrazils 
Storage accounts 

マツ Basic metrics 
Recent 

| Boot diagnostics 
Cloud services (classic) 


Existing diagnostics will not appear in the portalifyo 
Virtual networks 


You'll be charged normal data rates for storage and tl 


to a storage account 
Virtual machines (classic) 


sganovska@qualys.co.. 
DEFAULT DIRECTORY DEVPAS 


| machines > GA-qVSA-23-2 > Boot diagnostics 


0 | Settings Boot diagnostics 


Resource groups 


fer 


All resources Gaiig ul 6 23 src@localhost tagger_vscanner.sh: Preparing packag: 
Jul 6 23:29:14 src@localhost tagger_vscanner.sh: AUTOUPDATE-2.4.17-1 
Jul 6 23:29:16 src@loca1host logger: /usr/local/qualys/admin/bin/configurator --auto-update 


Jul 6 23:29:16 src@localhost logger: /usr/local/qualys/admin/bin/configurator --template 


Recent M4 
suppor 


App Services > /usr/ 1oca1/qua1ys/admn/etc/temp1ate_vscan_prod_admin.con 
Jul 6 23:29:25 src@locallost 1ogger: /usr/local/qualys/admin/bin/configurator -g --certchecks 
Virtual machines class > p93\.eng\.qualys\.con 


Jul 6 23:29:25 src@localhost tagger_vscanner.sh: Finished 
> Jul 6 23:29:25 src@localhost 1ogger: /usr/1oca1/qua1ys/admin/bin/confgurator -g --iscan-id 
689985462286:1457846472:285368:153:1467846472: 285368:153 
> Jul 6 23:29:25 src@localhost tagger[2496]: verify_registerg2507 
s :25 src@localhost tagger[2496]: 


Virtual machines 


SQ databases [tudio Premium with MSDN ク 10441.5053/<none> 


Cloud servces (classc) Brazil South/default 


ogin(12) rstrieved 
ul 6 23: verify_registerg25e7; dst_passxord(8) retrieved 
> Jul 6 23:29:25 src@localhost tagger[2496 bind_password(8) retrieved 
Jul 6 23:29:25 src@localhost tagger[249 vation_code(14) retrieved 
> Jul 6 23:29:25 src@localhost 1ogger: /usr/local/qualys/admin/bin/configurator -g -s 
distribution. qualys.com -o 443 -1 989985492286 -p $N$aaliaaaaa$NAaaaaNAAA.aAaANAaaAaa 
pst -server monitoring.qualys.com --nochost-port 443 
SCAND_JOBDURL=scanservicel1.qualys. con:443 --proxy-ip 23.12.171.214 --proxy-port 3129 
-proxy-user LeL9mhq --proxy-passud aaNaaaaN 
Jul 6 23:29:26 srcglocalhost tagger[2496]: verify_registerg2567: returning 9 
Jul 6 23:29:26 src@localhost tagger[2406]: persona1izationcode_confirmed825e7: verify_register() 
returned @ 
> Dry run to estimate work size 
Update in progress 0% 
> Ju1 6 23:29:26 scglocalhost dmnPowerButton: autoupdate status changed to "UPDATTNG 
Jul g 23:29:38 src@localhost tagger_vscanner2-sh: Wed Jul 6 23:29:3 UTC 2816 (autaupdate:3111) 
> NFO [start 
Dry run finished 
> Checking PTstfonm connectivity 
Update in progress 1% 
> Connected to https://distributian.qualys. com:443 (9/269 
Downloading sysfilelist 
Update in progress 2% 
Update in progress 3% 
Downloading sysf11e11st md5 
Update in progress 4% 
progress 5% 
progress 6% 


nrasracs を 


All settngs 3 
Subscriptions 


Browse > 
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プラ イベ ー ト クラ ウド プラ ッ ト フ ォ ー ム へ の スキ ャ ナ の 配置 


この 項 で は 、 プ ライ ベー トク ラウ ド プ ラッ ト フ ォ ー ム に Qualys スキ ャ ナ を 配置 する た め の 複 数 の 方 法 に つ 
いて 説明 し ます 。 


Qualys スキ ャ ナ の 配置 (CLI の 使用 ) 


ここ で は 、“azure "また は “az ” CLI ツー ル を 使用 し て Qualys Virtual Scanner Appliance を 配置 する 方 法 
に つい て 説明 し ます 。 Qualys Virtual Scanner Appliance は 、 配置 後 、 標準 の Virtual Scanner と し て 機能 し 、 
IP アド レス また は CIDR ブロ ッ ク に 基づい て スキ ャ ン で きる よう に な り ま す 。 


Microsoft Azure の 詳細 に つい て は 、Azure サポ ー ト の ペー ジ を 参照 し て くだ さい 。 


クイ ックス テッ プ 


リソー スグ ルー プ の 作成 
スト レー ジア カウ ント の 作成 
スス ドレー ジョ ンジ ン デ ナ の 作成 
仮想 ネッ トワ ー ク の 作成 
配置 テン プレ ー ト の 作成 


Qualys イメ ー ジ の スト レー ジア カウ ント へ の コピ ー 

Qualys スキ ャ ナ の 配置 

リソー スグ ルー プ の 作成 

お 使い の Qualys Virtual Scanner に 対し て 、1 つの ロケ ーション あたり 1 つの リソー スグ ルー プ を 作成 する 


こと を 推奨 し ます 。 リ ソー スグ ルー プ に グル ー プ の ロケ ーション を 表す わか りや すい 名 前 を 付け て 、 グ ルー 
プ の 作成 場所 を 指定 し ます 。 作成 後に 名 前 変更 は で きま せん 。 


azure CLI 


例 : azure group create --name resource-group-qualys-scanner --location 
"Central US" 


az CLI 


例 : az group create --name resource-group-qualys-scanner --location 
centralusg 


ここ で 、name は リソー スグ ルー プ 名 、location は グル ー プ の 作成 場所 を それ ぞ れ 示し ます 。 


ヘル プ : -h、--help (出力 の 使用 情報 ) 


スト レー ジア カウ ント の 作成 
お 使い の Qualys Virtual Scanner に 対し て 、 少 な く と も 1 つの スト レー ジア カウ ント を 作成 する こと を 推 
し ます 。 


ドニ 


azure CLI 

例 : azure storage account create storagequalys --resource-group 
resource-group-qualys-scanner --sku-name LRS --kind Storage --location 
"Central US" 
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az CLI 


例 : az storage account create --name storagequalys --resource-group 
resource-group-qdualys-scanner --sku Standard LRS --kind Storage -- 
location centralus 


ここ で 、name は スト レー ジア カウ ント 名 、resource-group は リソー スグ ルー プ 名 、sku は SKU 名 
(Premium LRS、Standard GRS、Standard LRS、Standard RAGRS、Standard ZRS) 、kind は アカ ウン 
ト の 種類 (BlobStorage、Storage、StorageV2) 、location は 場所 を それ ぞ れ 示し ます 。 


ヘル プ : -h、--help (出力 の 使用 情報 ) 


スト レー ジコ ン テ ナ の 作成 

Qvsa イメ ー ジ が 保存 され る スト レー ジア カウ ント に コン テ ナ を 作成 する 必要 が あり ます 。 

azure CLI 

例 : azure storage container create --Ccontainer images --account-name 
storagequalys --account-key 


"AbcdefDKBFEHMKxeelzL4fsxINIm7gPrG+dVoirJFuCVEknW9TbCXVEUDxs10eg+heAcosc 
/SiCUhAzwNOuy+2w==" 


az CLI 
例 : az storage container create --name images --account-name 
storagequalys  --account-key 


"AbcdefDKBFEHMKxeelzL4fsxINIm7gPrG+dVoirJFuCVEknW9TbCXVEUDxs10eg+heAcosc 
/SiCUhAzwNOuy+2w==" 


ここ で 、name は スト レー ジコ ン テ ナ 名 、account-name は スト レー ジア カウ ント 名 、account-key は スト レー 
ジア カウ ント キー を それ ぞ れ 示し ます 。 

ヘル プ : -h、--help (出力 の 使用 情報 ) 

仮想 ネッ トワ ー ク の 作成 


Qualys Virtual Scanner に 仮想 ネッ トワ ー ク が まだ 設定 され て いな い 場 合 は 、10.0.0.024 サブ ネッ ト を 持つ 
新しい 仮想 ネッ トワ ー ク を 作成 し ます 。 


azure CLI 
例 : azure network vnet create --name qualys-scanner-vnet  --address- 
prefixes "10.0.0.0/24" --resource-group resource-group-qualys-scanner  - 


-location "Central US" 


az CLI 

例 : az network vnet create --name qualys-scanner-vnet --address-prefixes 
"10.0.0.0/24" --resource-group resource-group-qualys-scanner --location 
centralus 


ここ で 、name は 仮想 ネッ トワ ー ク の 名 前 、address-prefixes は この 仮想 ネッ トワ ー ク の アド レス プレ フィ ッ 
クス の カン マ 区 切り リス ト 、resource-group は リソー スグ ルー プ の 名 前 、location は 場所 を それ ぞ れ 示し ます 。 


ヘル プ : -h、--help (出力 の 使用 情報 ) 
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配置 テン プレ ー ト の 作成 
コマ ンド ライ ン か ら Qualys スキ ャ ナ を 配置 する に は 、 配置 テン プレ ー ト を 作成 する 必要 が あり ます 。 


Azure Resource Manager テン プレ ー ト に 関す る Microsoft ドキ ュ メ ント 


カス タム の Qualys スキ ャ ナ テ ンプ レー ト を ダウ ン ロ ー ド し て 調整 し 、 ご 自身 の Azure クラ ウド 環境 に 適用 
し ます 。 


Qualys イメ ー ジ の スト レー ジア カウ ント へ の コピ ー 


Qualys qVSA イメ ー ジ を スト レー ジア カウ ント に コピ ー す る 必要 が あり ます 。 qVSA イメ ー ジ の リン ク は 、 
Qualys Operations が 提供 し て いま す 。 


azure CLI 


例 : azure storage blob copy start --source-uri 

“https: //qvsacq5itlevnuiuku.blob.core.windows . met / 1image8/qVSA .1386- 

2.4 .26-2 .YhQ?st 上 =2018-02-07T01 る 3A20 る 3A01Z&ge=2019-02- 

09T01 る 3A20 も 3A01Z&8D= エ 1&8Y=2015-02- 

21&8 エ =C&819=VEzX1Ky6Cy3DgZY る 2FO7qXVgY も 3D" --account-name "storagequalys" 
--account-key 
"AbcdefDKBFEHMKxeelzL4fsxINIm7gPrG+dVoirJFuCVEknW9TbCXVEUDxs10eg+heAcosc 


/SiCUhAzwNOuy+2w==" --dest-blob "qualys-scanner-image” --dest-container 
images 

az CLI 

例 : az storage blob copy start --source-uri 


"https://qvsacq5itlevnuiuku.blob.core.windows .net/images/qVSA.i386- 
2.4.26-2.vhd?st=2018-02-07T01%3A20%3A01Z&se=2019-02- 
09TO1%3A20%3A01Z&sp=rl&sv=2015-02- 
21&sr=Cc&sig=VEZXlKy6cy3DgZY%2Fo7qXVsY%3D" --account-name "storagequalys" 
--account-key 
"AbcdefDKBFEHMKxeelzL4fsxINIm7gPrG+dVoirJFuCVEknW9ThbCXVEUDxs10eg+heAcosc 
/SiCUhAzwNOuy+2w=="  --destination-blob "qualys-scanner-image" -- 
destination-container images 


ここ で 、source-uri は Qualys Operations が 提供 する qVSA イメ ー ジ リン ク 、account-name は スト レー ジ 
アカ ウン ト 名 、account-key は スト レー ジア カウ ント キー、destination-blob は blob 名 、destination-container 
は 対象 の スト レー ジコ ン テ ナ 名 を それ ぞ れ 示し ます 。 


ヘル プ : -h、--help (出力 の 使用 情報 ) 


Qualys スキ ャ ナ の 配置 


Azure に Qualys Virtual Scanner を 配置 する 前 に 、 ま ず Qualys クラ ウド プラ ッ ト フ ォ ー ム に Virtual 
Scanner を 作成 し 、 わ か りや すい スキ ャ ブナ 名 を 割り 当て 、 正確 な 個人 設定 コー ド を 記録 する 必要 が あり ます 。 


注記 : 


ェ 一 


Qualys Virtual Scanner は 、 ロ ッ ク ダ ウン され た Linux アプ ライ アン ス で あり 、Qualys クラ ウド プラ ッ 
フォ ー ム に 完全 に 管理 され て いま す 。 そ の た め 、Azure の ユー ザ 名 、 パ スワ ー ド 、 お よび SSH パブ リッ 
クキ ー は 、 認 証 に は 使用 され ず 、Azure クラ ウド か ら ア プラ イア ンス に 設定 情報 を 渡す メカ ニズム と し て 使 
1 きれ ます 。 
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2) Azure の パス ワー ド に 次 の 特殊 文字 は 使用 で きま せん 。: @ &<> - " 


3) “ proxy://[useripassword⑦]IP[:port] ” URL の よう な パス ワー ド を 使用 する と 、Qualys クラ ウド プラ ッ 
ト フ ォ ー ム と の すべ て の 発信 接続 に SSL プロ キシ を 使用 する よう Qualys スキ ャ ナ を 設定 で きま す 。 


azure CLI 


例 : azure group deployment create --resource-group resource-group- 
qualys-scanner --name qualys-scanner --template-file azuredeploy.json -- 
parameters-file azuredeploy.parameters.]} son 


az CLI 
例 : az group deployment create --resource-group resource-group-qualys- 


scanner --name qualys-scanner --template-file azuredeploy.json -- 
parameters @azuredeploy.parameters.]}son 


ここ で 、resource-group は リソー スグ ルー プ の 名 前 、name は 配置 の 名 前 、template-file は ファ イル シス テ 
ム の テン プレ ー ト ファ イル へ の パス 、parameters は パラ メー タ を 含む ファ イル を それ ぞ れ 示し ます 


ヘル プ : -h、--help (出力 の 使用 情報 ) 
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Azure GUI を 使用 し て VHD ファ イル か ら Qualys イメ ー ジ を 作成 (オプ ショ ン ) 


Azure で UI を 使用 し て VHD ファ イル か ら Qualys イメ ー ジ を 作成 で きま す 。 “azure ” また は “az ”CLI 
ツー ル を 使用 する 方 法 も あり ます (「Qualys イメ ー ジ の スト レー ジア カウ ント へ の コピ ー」 参 照 )。 


Microsoft Azurre ダッ シュ ボー ド か ら 、「Create a resource」 を 選択 し 、 イ メー ジ を 検索 し 、「Create」 を ク 
リッ ク し ます 。 


PUBUSHER Microsoft 


新しい イメ ー ジ の 必要 な 情報 を すべ て 入力 し ます 。「Storage blob」 で 、 ス トレ ー ジ アカ ウン ト に すでに っ ュ コ 
ピー 済み の .vhd ファ イル の 場所 を 選択 し ます 。 


Create image ロ 
m f 


ailable for the location you have selected. Click here to learn more 


Browse 


Data disks 
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ジ を 使 


1] し て 、Qualys スキ ャ ナ の イン スタ ンス を 1 つ 作 成 で きま す 。「All 


services」 を 選択 し 、「Compute」 セク ショ ン か ら 「HImages」 を 選択 し ます 。 リ スト で イメ ー ジ を 特定 し 、 
「Create VM」 を クリ ッ ク し ます 。 


Images * メ xX Qualys-WAF-Appliance-azure-dev-61 
ar で es 


NAME 


FB Qualys-WAF-Appliance-azure-dev-61 


隊 Qualys-WAF-Appliance-azure-prod-26 


外 Overview 


(AF-Appliance-a: 


CE VIRTUAL MACHINE 


s DISK 
os Teee SOURCE BLOB URI ACCOUNT TPE 
Linux https://qualyswafcv360.blob core.windows.net/wafblob/Qualys-WAF-Appliance-azure-dey-61vhd 園 Standard_LRS 


any data disks, 


ns/9de9e0a7-4f67-4812-917d-2246853844e1/resourceGroups/resource-group-2849/providers/Microsoft Compute/images/Qualtys-WAF-Appliance-azu 
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Qualys Cloud Agent の 配置 
この 項 で は 、Qualys Cloud Agent を 配置 する た め の 複 数 の 方 法 に つい て 説明 し ます 。 


Azure Security Center か ら の Qualys Cloud Agent の 配置 


この 項 で は 、Azure Security Center コン ソ ツール か ら Azure 仮想 マシン 用 の Qualys Cloud Agent (Windows 
お よび Linux) を イン スト ー ル し 、Azure Security Center お よび Qualys サブ プス クリ プシ ョ ン 内 に 脆弱 性 評 
価 の 検出 結果 を 表示 する 方 法 に つい て 説明 し ます 。 


Azure Security Center は 、Azure イン プラ スト ラク チャ に 一 元 的 な セキ ュ リ ティ 管理 お よび 監視 コン ソー ル 
を 提供 し ます 。Qualys と Azure Security Center の パー トナ ー ソ リュ ーション が 統合 され 、 脆 弱 性 評価 が 可 
能 に な り ま す 。 セ キュ リティ セン ター は 、 ソ リュ ーション を 使用 せ ず に 仮想 マシ ン を 検出 し 、 軽量 の Qualys 
Cloud Agent を それ ら に 自動 で 配置 し ます 。Qualys Cloud Agent は 脆弱 性 デー タ を 収集 し 、 そ の デー タ を 
Qualys クラ ウド プ ブ プラットフォーム に 送信 し ます 。 次 に Qualys クラ ウド プラ ッ ト フ ォ ー ム は 、 脆弱 性 お よび 
健全 性 監視 デー タ を Azure Security Center に 戻し ます 。 


当社 の 革新 的 な Qualys Cloud Agent プラ ッ ト フ ォ ー ム を 使用 し て 、 イ ン フ ラス トラ クチ ャ の セキ ュ リ ティ 
と コン プラ イア ンス を 継続 的 に 評価 する 軽量 の クラ ウド エー ジェ ント を 配置 で きま す 。 


推奨 リソー ス 


0⑩ualys ク クウ NZ ラ ンド クニ バ 
Qualys Cloud Agent 操作 ガイ ド 


クイ ックス テッ プ 
AssetView で の アセ ッ ト タ グ の 作成 (オプ ショ ン ) 
Cloud Agent で の アク ティ ブ 化 キー の 作成 


Azure へ の Cloud Agent の 配置 


AssetView で の アセ ッ ト タ グ の 作成 (オプ ショ ン ) 

アデ アセット タグ を 使用 する と 、 ア セッ ト を 一 意 に 識別 で きま す 。Azure クラ ウド の アセ ッ ト を 他 と 容易 に 識別 
で きる よう “Azure "と いう タグ を 作成 する こと を ベス ト プ ラ クティ ス と し て 推奨 し ます 。 次 の 手順 で タグ 
と アク ティ ブ 化 キー を 関連 付け ます 。 


モジ ュー ルビ ピッ カー か ら 「AssetView」 を 選択 し 、「 ア セッ ト 」 つ 「 タ グ 」 を 選択 し て 、「 新 規 タ グ 」 を クリ ッ 
ク し ます 。 


AssetView マ 


ダッ シュ ポー ド アセ ッ ト テン プレ ー ト コネ クタ 


‘= AssetView 


結果 を 検索 新規 タグ 
回 ココ sm 

a 結果 を フィ ル タ 回 Asset Groups 

クイ ッ ク フ ィ ル タ 回 Asset Search Tags 


タグ 作成 ウィ ザー ド で 、 タ グ に 名 前 を 付け 、「 タ グル ー ル 」 で 「 動 的 ルー ル な し 」 を 選択 し ます (タグ を キー 
に 追加 する 際 に 必須 )。 終了 したら 、「 完 了 」 を クリ ッ ク し ます 。 
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アク ティ ブ 化 キー の 作成 方 法 に つい て 説明 し ます 。 こ の 手順 を 完了 する と 、Qualys Cloud Agent を Azure 
に 配置 する 際 に 必要 な ライ セン スコ ー ド と パブ リッ クキ ー を 取得 で きま す 。 指定 され た アク ティ ブ 化 キー を 
使用 し て Azure クラ ウド の 配置 を 操作 する こと を 推奨 し ます 。 ま た 、 部 署 の 管理 に も 個別 の アク ティ ブ 化 


キー を 使用 し て くだ さい 。 


モジ ュー ルビ ピッ カー か ら 「Cloud Agent」 を 選択 し 、「 エ ー ジ ェ ン ト 管 班 


「 新 し い エ ー ジ ェ ン ト の イン スト ー ル 」 を クリ ッ ク し ます 。 
Cloud Agent マ 


ダッ シュ ボー ド エー ジェ ント 管理 


アク ティ ブ 化 キー 設定 プロ ファ イル 


E」 つっ 「 エ ー ジ ェ ン ト 」 を 選択 し て 、 


キー に 一 意 の 名 前 ( 例 : AzureAgentsActivationKey) を 付け 、 ラ イセ ンス に 応じ て VM お よび PC モジ ュー 


ル (ある い は どちら か 一 方 ) を 選択 し ます 。Azure の アセ モット を 完全 に セキ ュ リ ティ 保護 する た め に は 、 両 


方 の ツ ソリュ ーション を 使用 する こと を 推奨 し ます 。 


新規 アク ティ ブ 化 キー 


新規 アク ティ ブ 化 キー を 作成 

アク ティ ブ 化 キー は 、 エ ー ジ ェ ン ト を イン スト ー ル する た め に 使用 され ます 。 ご れ に より 、 エ ー ジ ェ ン ト を グル ー プ 化 で 
きる た め 、 ア カウ ント が 管理 し や すく な り ま す 。 デフ ォ ル ト で は 、 こ ご の キー に 制限 は あり ませ ん 。 い つ で も 任意 の 数 の 工 
ー ジ ェ ン ト を 追加 で きま す 。 


タイ トル Azure Activation 


Vulnerability Management PC Policy Compliance 
10 Activations Remaining の 10 Activations Remaining 


File Integrity Monitoring 
5 Activations Remaining 


因 還 キー | 生成 


Azure の アセ ッ ト タ グ を 作成 し て いる 場合 は 、 こ こ で その タグ を 選択 し ます 。 次 に 「 生 成 」 を クリ ッ ク し ます 。 
新規 アク ティ ブ 化 キー 


新規 アク ティ ブ 化 キー を 作成 


アク ティ ブ 化 キー は 、 エ ー ジ ェ ン ト を イン スト ー ル する た め に 使用 され ます 。 こ れ に より 、 エ ー ジ ェ ン ト を グル ー プ 化 で 
きる た め 、 ア カウ ント が 管理 し や すく な り ま す 。 デフ ォ ル ト で は 、 ご の キー に 制限 は あり ませ ん 。 い つ で も 任意 の 数 の エエ 
ー ジ ェ ン ト を 追加 で きま す 。 


タイ トル Azure Security Center Key 


対象 に する タグ を 追加 
選択 | 作成 | = 


(タグ が 選択 され て いま せん ) 最近 使っ た タグ 
Asset Groups 


Business Units 


これ ら の アプ リケーション の セッ ト ア ッ プ キー 


>| ake Management 
License limit not enforced 


Cloud Agent 
| Demo tag 


M Tamain Asset 
[>| eey om rn Ser 9 
License limit not e tag 
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この 統合 配置 の 一 部 と し て 、Azure エー ジェ ント は 現在 、Windows お よび Linux で サポ ー ト され て いま す 
(Linux エー ジェ ント の サポ ー ト は 最近 追加 され まし た )。 


新規 アク ティ ブ 化 キー 1 Windows また は Linux の 「 イ ンス トー 
ル 手 順 」 ボ タン を クリ ッ ク し ます 。 


新規 アク ティ ブ 化 キー が 正常 に 生成 され まし た 


キー に 名 前 と タグ を つけ る と 、 こ ご の キー で イン スト ー ル し た エー ジェ ント を 見 つけ や すく な り ま す 。 こ の タグ が エー ジェ 
ント ホス ト と 関連 付け られ ます 。 


アク ティ ブ 化 キー d1b0760a-8c22-4f06-a004-563e5d5acfbf る 


キー タイ プ 無制限 キー 
FIM/IOC/PM を サボ ー ト する 2.x バイ ナリ の ダウ ン ロ ー ド 
イン スト ー ル 要件 


醒 圏 |Windows Windows クラ イア ント バー ジョ ン 
還 較 | (exe) Windows サー ババ ー ジ ョ ン ELE 
Red Hat Enterprise Linux 
CentOS 

Fedora 

OpenSUSE 

SUSE 

Amazon Linux 

Oracle Enterprise Linux 


Debian 


Ubuntu イン スト ー ル 手順 


0S X 


イン スト ー ル 手順 


IBM AIX 


トレ ュー ュー ーー 


ンー フル キー pr モー ヤー 「AZure Cloud で の 配置 」 を 選択 し 、 
ペー ジ か ら キ ー を 取得 し ます 。 


ライ セン スコ ー ド と パブ リッ クキ ー を 


エー ジェ ント を イン スト ー ル する 準備 が で きま し た 。 


現在 の エー ジェ ント バー ジョ ン : 3.1.5.43 C > ニテ 
Hash-SHA-256: fcef09d74230c0930e8ea50a4d82d8709fa93723bb69b824fdfb6b1e6e91f433 の し ま す 。 これ ら は 、Azure に 
Cloud Agent を 配置 する 次 の 手順 で 必 

EC) Azure Cloud で の 配置 要 に な り ま す 。 


Microsoft Azure の イン スト ー ル 要件 
・ アク ティ ブ な Azure Cloud Service アカ ウン ト 


Azure エー ジェ ント を イン スト ー ル する 手順 


Qualys エー ジェ ント の 配置 は 、Azure セキ ュ リ ティ セン ター の 脆弱 性 評価 用 バー トナ ー ソ リュ ーション に 統合 され て 

いま す 。 開 始 す る に は 、 以 下 の ヒ ント に 従っ て くだ さい 。 

1. お 使い の Azure ボー タル > セキ ュ リ ティ セン ター に ログ イン 

2. Qualys ソリ ュー ショ ン を 選択 し て 、 以 下 の ア クティ ブ 化 コー ド と ライ セン スキ ー を コピ ー し 、 イ ンス トー ル 画 面 に 
貼り 付け ます 。 

以下 の フィ ー ル ド は Azure Ul の フィ ー ル ド と 一 致し て いま す 


ライ セン スコ ー ド 


eyJjaWQiOiIzNGI2MGJmYi1mNWViLWMONjQtODBjOCOwYmYyYjcxYTAwYTUiLC 
JhaWQiOUkMWIwNzYwYS04YzIyLTRmMDYtYTAwNCO1NjNINWQ1YWNmYmYiL 
CJwd3NVcmwiOJodHRwczovL3FhZ3B1YmxpYy5wMDQuZW5nLnNqYzAxLnF1Y 
Wx5cy5jb20vQ2xvdWRBZ2VudC8iLCJwd3NQb310IjoiNDQzIn0= 
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Azure へ の Cloud Agent の 配置 


Azure Security Center と の 統合 に 使 / 


H で きる 製品 は 次 の 2 つ で す 。 そ れ ぞ れ に つい て 


説明 し ます 。 


- Vulnerability Assessment with Qualys Cloud Agent (QCA) (Bring Your Own License (BYOL) ) 


- Azure Security Center Embedded Vulnerability Assessment Powered by Qualys 


Vulnerability Assessment with Qualys Cloud Agent 


Vulnerability Assessment with Qualys Cloud Agent (QCA) (Bring Your Own License (BYOL) ) で は 、Azure 


Security Center (ASC) 


か ら QCA を 配置 で きま す 。 ま た 、 最 初 に 設定 


し た Azure Resource Group へ の 


Qualys Cloud Agent の 


1) Microsoft Azure ポー 


動 配 置 も 可能 で す 。 こ の 製品 は 、ASC の 無償 お よび 標準 価格 帯 で 入手 で きま す 。 


タル に ログ イン し 、「Security Center」 を 選択 し ます 。Azure Security Center で は 、 


Windows お よび Linux 仮想 マシ ン を 監視 し 保護 する た め の Azure サー ビス が 統合 され て いま す 。 


2) 「Recommendations」 を クリ ッ ク し 、「Vulnerability assessment solution should be installed on your virtual 


machines」 を クリ ッ ク し ます 。 Qualys エー ジェ ント は 、 セ キュ リティ セン ター 内 の 脆弱 性 評 1 
ン の 「Recommendations」 に 統合 され ます 。 セ キュ リティ セン ター は 、 仮想 マシ ン を 


ソリ ュー ショ 
動 で 検出 し 、 こ の 統 


合 に より 、 ユ ー ザ は Qualys Cloud Agent を 直接 配置 で きま す 。 


GENERAL 
@ owvew 

4 Getting started 
+ events 


の Search 


POUICY & COMPUANCE 


A Regulatory compliance 
ll Securiy policy 


RESOURCE SECURITY HYGIENE 


Recommendations 


a fie Integrity Monitoring 
THREAT PROTECTION 


@ Secuty alers 


9 Security alerts map (Preview) 


AUTOMATION & ORCHESTRATION 


I Playbooks (Preview) 


Dashboard > Security Center - Recommendations 


Security Center - Recommendations x 


Recommendations Resource health monitorin 


ER 14 nevwoting 


£3. 0 lor hubs & resources 
Wg 


49 Unhealthy resources 


Fanto mesouRcs 


WY Toft itual machine cust 


Remediate vulne EE of 34 virtual machines 


Enable Network Security Grou 912 of 14 subnets 


Function App should only be a p> 2of2 function apps 


Install endpoint prot E12 of 34 virtual machines 


EN 3 of34 vi 


lies 
E30 of 34 vital machines 


chines 


47 


Securing Microsoft Azure with Qualys 


3) 「Recommendations] の リス ト か ら 、Cloud Agent を 配置 する 仮想 マシ ン を 1 つ 以 上 * 選択 し ます 。VM 
を 選択 したら 、「Install on #n VMs」 を クリ ッ ク し て 、 エ ー ジ ェ ン ト の イン スト ー ル を 実行 し ます (ここ で 、 
#n は 仮想 マシ ン の 数 で す )。 


TAM-Demo-VM.-05 


View Mode Azure VM Infomation 
Asset Summary VMID 
VM Name TAM-Demo-VM_05 
‘System nforination Platform (OS Type}: Linux 
Agent Summary Size Standard_B1s 
Image Offer CentOS 
Network Information Image Publisher OpenLogic 
Image Version 7.2.20170517 
Oren Pott Subscription ID 
Installed Software i = 
Resource Group 
Vulnerabilities Name 
VM State RUNNING 
Threat Protection RTls 
Network: 
Compliance 
Private IP Address 
File Integrity Monitoring Public IP Address: - 
MAC Address 
Indication of Compromise Subnet 10.0.10 
Alert Notifications Azure VM Tags: 
Azure VM information LieCycle 05152020 
Owner 
adi Department Product Manaqement 
Close 


4) 「Create New」 を 選択 し て 、 新しい ソリ ュー ショ ン を 作成 し ます 。 こ の フロ ー を すでに 一 度 実行 し て いる 
場合 は 、 こ の オプ ショ ン の 下 の 「Use existing solution」 リ スト に ある Qualys ソリ ュー ショ ン を 使用 で きま 
す 。 


Add a Vulnerability Assessment x 


Select an existing solution or create a new one 


Use existing solution 


5) 新しい ソリ ュー ショ ン を 作成 する と き に 、 ソ リュ ーション の リス ト か ら 脆 弱 性 評価 ソリ ュー ショ ン と し 
て 「Qualys, Inc」 を 選択 し ます 。 


Create a new Vulnerability Assessment solution x | 


Qualys, Inc. > 
Qualys for Azure 
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6) 新しい ソリ ュー ショ ン の 設 
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定 の 記 


F 細 を 指定 し ます 。 ソリ ュー ショ ン の 名 前 を 入力 し ます 。 ! 


ソー スグ ルー 


プ 、 ロ ケー ショ ン を 選択 し ます 。 ソ リュ ーション の ライ セン スコ ー ド と パブ リッ クキ ー を 指定 し ます 。 ラ イ 
セン スコ ー ド と パブ リッ クキ ー は 、Qualys サブ プス クリ プシ ョ ン で 作成 し た アク ティ ブ 化 キー か ら 取 得 で き 


ます 。 


Qualys, Inc. 


® 
n 


Qualys for Azure 


還っ 


Create a new Vulnerability Assessment solution 


X 


Create management 


Sign up for the solution 


Name * 


Qualys, Inc. vulnerability .… ロ 


QualysVa1 


Resource group * 


| AutoDeployEU ジン | 
Create new 
Location * 

North Europe ツン 


License code* © 


Public key* © 


7) オプ ショ ン で 、「Auto deploy」 オ プシ ョ ン を 有効 に し て 指定 する こと も で きま す 。 こ の オプ ショ ン は 、 


ASC 脆弱 性 評 1 


に 固 


て いま せん 。「Auto deploy」 オ プシ ョ ン を 「On」 に する と 、Qualys Cloud Agent が 自 


動 的 に 


の も の で 、Qualys な どの 特定 の サー ド パ バー ティア プリ ケー ショ ン に は 関連 付け られ 
VM に 配置 さ 


れ ま す 。 こ れ ら の VM は 、 ソ リュ ーション の 作成 時 に 指定 され た リソー スグ ルー プ に ある 最新 の も の で す 。 
例え ば 、 上 記 の スク リー ン シ ョ ッ ト の リソー スグ ルー プ で 、「Auto deploy」 オ プシ ョ ン を 有効 に する と 、 


Qualys Cloud Agent は 、 リ ソー スグ ルー プ 「AutoDeployEU」 内 に 新しく 用 意 さ れ た VM に の み 


され ます 。 
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Create a new Vulnerability Assessment solution x Qualys, Inc. vulnerability ... 口 X 


Create management 


AutoDeployEU ジン っ | 


Qualys, Inc. Create new 
⑨ Qualys for Azure > ie 


North Europe ジン 
nn > License code* © 


Public key* © 


Auto deploy 〇 


8) エー ジェ ント の 配置 に 必要 な ライ セン スコ ー ド と パブ リッ クキ ー を 取得 する に は 、Qualys へ の サブ スク 
リプ ショ ン か 必要 で す 。 エ ー ジ ェ ン トキ ー を 生成 する 場合 、 セ レク タ の 「Deploying in Azure Cloud」 を 切 
燃え 々 ます 。 


En 
You are ready to install the agent. 


Current agent version: 3.0.0.101 
Hash-SHA-256 : 1c62590bc7dc12b7782695176ed42c0dfabe75cb0e987f1beb987a150f1253c6 


( @) Deploying in Azure Cloud 
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9) 
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項 の 指示 に 従っ て 、 ラ イセ ンス コー ド と パブ リッ クキ ー を 取得 し ます 。 初 め て Qualys を 使用 する 場合 


は 、Qualys ソリ ュー ショ ン を 確認 し 、「Sign up for the solution」 リ ンク か ら サ イン アッ プ し て 無償 トラ イ 
アル を 取得 で きま す 。 


Qualys, Inc. vulnerability ... 


Create management 


Sign up for the solution 


* Name 


QualysVa1 


Subscription 


Qualys Solutions Architects 


* Resource group 


Select existing... 


Create new 


* Location 
East US 


* License code @ 


* Public key @ 


Auto deploy @ 


EW 


Please note, when creating the VA 
management, VA agents will be installed on 
your virtual machines. 


E 記 : その 後 の 配置 で は 、「Existing Solution」 リ スト か ら 、 作 成 済 み の ソ リュ ーション を 選択 し ます 。 入 


力 内 容 が 保存 され る た め 、Qualys サブ スク リプ ショ ン か ら コ ー ド と キー を 再び 取得 する 必要 は あり ませ ん 。 


Qualys サブ スク リプ ショ ン か ら ラ イセ ンス コー ド と パブ リッ クキ ー を 取得 


1 


) Qualys サブ プ ス クリ プシ ョ ン に ログ イン し ます 。 メ ニュ ー か ら 「Cloud Agent」 アプ リケーション を 選択 


し 、「 ア クティ ブ 化 キー」 を 選択 し ます 。 


⑲ Qualys. 


Cloud Agent v 向 ヘル プ マ v Logow 


ダッ シュ ボー ド エー ジェ ント 管理 


アク ティ ブ 化 キー 壮 記 が 4 ョ ウレ の) 


状態 アク ティ ブ vv | 有効 は い マ 


y | 新規 キー 22 アク ティ ブ 化 キー 開 v 
品 アク ティ ブ 化 キー エー ジェ ント 作成 日 作成 者 期限 モジ ュー ル 
品 AJM_ASC 3 February 20.2019 Alex Mandermack never wm に 
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2) 「 新 規 キ ー」 を クリ ッ ク し 、 新 し い ア クティ ブ 化 キー を 生成 し ます 。 個 別 の アク ティ ブ 化 キー を 使用 し て 
Azure クラ ウド の 配置 を 操作 する こと を 推奨 し ます 。 ま た 、 部 署 の 管理 に も 個別 の アク ティ ブ 化 キー を 使用 
し て くだ さい 。 一意 に 識別 する た め に 名 前 ( 例 : Azure Security Center Key) を 指定 し 、 ラ イセ ンス に 応 
じ て 、Vulnerability Management お よび Policy Compliance モジ ュー ル (ある い は どちら か 一 方 ) を 選択 し 
ます 。Azure の アセ モット を 完全 に セキ ュ リ ティ 保護 する た め に は 、 両 廊 の ツ ソリュ ーション を 使用 する こと を 
推奨 し ます 。 


新規 アク ティ ブ 化 キー 


新規 アク ティ ブ 化 キー を 作成 

アク ティ ブ 化 キー は 、 エ ー ジ ェ ン ト を イン スト ー ル する た め に 使用 され ます 。 こ ご これ に より 、 エー ジェン ト を グル ー プ 化 で 
きる た め 、 ア カウ ント が 管理 し や すく な り ま す 。 デ フォ ルト で は 、 こ の キー に 制限 は あり ませ ん 。 い つ で も 任意 の 数 の エ 
ー ジ ェ ン ト を 追加 で きま す 。 

タイ トル Azure Security Center Key 


選択 | 作成 


Vuinerability Management Policy Compliance 
vM bility Manag PC aa 
License limit not enforced License limit not enforced 


ーー Indication of Compromi 
ロロ FIM File Integrity Monitoring ロ IOC 6 a c re se 
License limit not enforced License limit not enforced 
= Secure Config Assessment 
ロ が 
License limit not enforced 
ロロ 制限 を 設定 


閉じ る 無制限 キー 生成 | 
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3) 一 意 に 識別 する た め に 名 前 ( 例 :Azure Security Center Key) を 指 
Management お よび Policy Compliance = 


Securing Microsoft Azure with Qualys 


セッ ト を 完全 に セキ ュ リ ティ 保護 する た め に は 、 両 方 の ソリ ュー ショ ン を 使用 する 
成 」 を クリ ッ ク し て 、 新 し い ア クティ ブ 化 キー を 生成 し ます 。 


新規 アク ティ ブ 化 キー 


新規 アク ティ ブ 化 キー が 正常 に 生成 され まし た 


キー に 名 前 と タグ を つけ る と 、 こ の キー で イン スト ー ル し た エー ジェ ント を 見 つけ や すく な り ま す 。 こ の タグ が エー ジェ 


ント ホス ト と 関連 付け られ ます 。 


アク ティ ブ 化 キー 


無制限 キー 


FIMAIOC/PM を サポ ー ト する 2.x バイ ナリ の ダウ ン ロ ー ド 


イン スト ー ル 要件 


画 Windows 
男 (Lexe) 


Linux 
Crpm) 


@ Linux 
(.deb) 
MAC 
| ( (pkg) 
4 AX 


閉じ る 


Windows クラ イア ント バー ジョ ン 
Windows サー ババ ー ジ ョ ン 

Red Hat Enterprise Linux 

CentOS 

Fedora 

OpenSUSE 

SUSE 

Amazon Linux 

Oracle Enterprise Linux 


Debian 
Ubuntu 


OS X 


IBM AIX 


イン スト ー ル 手順 


イン スト ー ル 手順 


イン スト ー ル 手順 


イン スト ー ル 手順 


定 し 、 ラ イセ ンス に 応じ て 、Vulnerability 
EE ジュール (ある い は どちら か 一 方 ) を 選択 し ます 。Azure の ア 


こと を 推奨 し ます 。「 生 


4) 現在 は 、 こ の 統合 配置 の 一 部 と し て 、Windows お よび Linux エー ジェ ント で の み 使 用 で きま す (Linux 
エー ジェ ント の サポ ー ト は 新しく 追加 され まし た ) 。Windows また は Linux の 「 イ ンス トー ル 手 順 」 を ク 
リッ ク し ます 。「Azure へ の 配置 」 を 選択 し 、 ベー ジ か ら キ ー を 取得 し ます 。 
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5) ライ セン スコ ー ド と パブ リッ クキ ー を コピ ー し 、 エ ー ジ ェ ン ト を 配置 する 際 に 使用 し ます 。 


新規 アク ティ ブ 化 キー 


エー ジェ ント を イン スト ー ル する 準備 が で きま し た 。 


現在 の エー ジェ ント バー ジョ ン : 3.1.5.43 
Hash-SHA-256: fcef09d74230c0930e8ea50a4d82d8709fa93723bb69b824fdfb6b1e6e91f433 


@) Azure Cloud で の 配置 


Microsoft Azure の イン スト ー ル 要件 


・ アク ティ ブ な Azure Cloud Service アカ ウン ト 


Azure エー ジェ ント を イン スト ー ル する 手順 
Qualys エー ジェ ント の 配置 は 、Azure セキ ュ リ ティ セン ター の 脆弱 性 評価 用 パートナー ゾ リュ ーション に 統合 され て 
いま す 。 開 始 す る に は 、 以 下 の ヒ ント に 従っ て くだ さい 。 
1. お 使い の Azure ボー タル > セキ ュ リ ティ セン ター に ログ イン 
2. Qualys ソリ ュー ショ ン を 居 択 し て 、 以 下 の ア クティ ブ 化 コー ド と ライ セン スキ ー を コピ ー し 、 イ ンス トー ル 画 面 に 
貼り 付け ます 。 
以下 の フィ ー ル ド は Azure UI の フィ ー ル ド と 一 致し て いま す 


ライ セン スコ ー ド 


AzZure Security Center Embedded Vulnerability Assessment Powered by Qualys 


Azure Security Center Embedded Vulnerability Assessment Powered by Qualys を 使用 する と 、Qualys の 
Vulnerability Assessment ソリ ュー ショ ン を すばやく 配置 で きま す 。 追 加 設 定 は 不要 で す 。 こ の 製品 は 、Azure 
Security Center (ASC) の 標準 価格 帯 に サブ プス クラ イブ し て いる すべ て の Azure ユー ザ が 使用 で きま す 。 


この ソリ ュー ショ ン は 、Azure サブ プ ス クリ プシ ョ ン 内 の 仮想 マシ ン に 配置 され る Qualys Cloud Agent を 活 
1』 し ます 。Vulnerability Assessment の 検出 結果 が 、「Recommendations」 の 下 の 「ASC Dashboard」 に 表 
示さ れ ま す 。 


Microsoft Azure ポー タル に ログ イン し 、「Security Center」 を 選択 し ます 。Azure Security Center に は 、 
Windows お よび Linux 仮想 マシ ン を 監視 し 保護 する た め の Azure サー ビス が 統合 され て いま す 。 


= 


2「Recommendations」 を クリ ッ ク し 、「Enable the built-in vulnerability assessment solution on virtual 
machines (powered by Qualys)」 を クリ ッ ク し ます 。 
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Golden Machine Image の 一 部 と し て Qualys Cloud Agent を 埋め 込む 

Qualys Cloud Agent は 、Microsoft Azure な どの クラ ウド 環境 の クロ ー ン イメ ー ジ に 設定 と 配置 を 埋め 込む 
こと を サポ ー ト し て いま す 。 詳し い 手 順に つい て は 、 TAM また は Qualys サポ ー ト に 問い 合わ せ て 、『Cloud 
Agent Technical White Paper』 を 入手 し て くだ さい 。 


Azure ARM テン プレ ー ト を 使用 し た Qualys Cloud Agent の 配置 


この 項 で は 、Azure Resource Manager (ARM) テン プレ ー ト を 使用 し て Qualys Cloud Agent を 配置 する 
方 法 に つい て 説明 し ます 。 


Azure ポー タル の 使用 
Linux VM へ の Cloud Agent の 配置 


Windows VM へ の Cloud Agent の 配置 


Powershell の 使用 


PS C:\New-AzureRmResourceGroupDeployment -VMName VM NAME - 
ResourceGroupName RESOURCE _ GROUP NAME -Location VM LOCATTON - 
TemplateFile TEMPLATE FILE PATH -TemplateParameterFile 
TEMPLATE PARAMETER FILE PATH 

SUG 


TEMPLATE FILE PATH= テ ンプ レー ト フ ァイル の パス 
TEMPLATE PARAMETER FILE PATH= テ ンプ レー ト の パラ メー タフ ァイル の パス 


入力 パラ メー タ : パラ メー タフ ィ ー ル ド に 入力 する 際 の 一 例 と し て 、azuredeploy-parameters.json を 利用 し 
ます 。 


- vmName: Qualys Cloud Agent を イン スト ー ル する 仮想 マシ ン の 名 前 


- vmlocation: 仮想 マン シン の 場所 


- LicenseCode: Qualys サブ プス クリ プシ ョ ン の ライ セン スコ ー ド 


他 の ツー ルセット を 使用 し た Qualys Cloud Agent の 配置 


Qualys Cloud Agent は 、 環 境内 の 自動 化 、 オ ー ケ スト レー ショ ン 、 ま た は 設定 管理 の ツー ルセット (Ansible、 
Chef、 Puppet な ど ) を 使用 し て 配置 で きま す 。 Qualys は 、Ansible を 使用 し て Qulays Cloud Agent を 配置 
する た め の テ ンプ レー ト を 提供 し て いま す 。 ユ ー ザ は これ を 使用 し て 、Azure 環境 に Qualys Cloud Agent 
を 配置 し 設定 で きま す 。 


Ansible 
この 項 で は 、Ansible-Playbook を 使用 し て 、Qualys Cloud Agent を 配置 する 方 法 に つい て 説明 し ます 。 


プレ イブ ッ ク ImstallQCA.yml を 使用 し て 、“ host” フ ァイル に 含ま れる アセ モット 全体 に Qualys Cloud Agent 
を 配置 で きま す 。 さ ら に 、 タ グ を 使用 し て 、 仮 想 マ シン に Qualys Cloud Agent を 配置 で きま す 。 github の 
例 に つい て は 、「Cloud Agent Ansible」 を 参照 し て くだ さい 。 


必須 の 入力 パラ メー タ : 


I 


- private-key = 仮想 マシ ン に アク セス する た め の プ ライ ベー トキ ー (Ansible は SSH 経由 で 機能 し ます ) 


- ssh user= イン スタ ンス に ログ イン する た め の ニ ユー ザ 名 
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- URL し = ファ イル が ホス ト さ れる URL ( 例 : Webserver、S3、Blob Storage、Cloud Storage) 


- ActivaiionID= テ エー ジェ ント を グル ー プ 化し て アカ ウン ト に バイ ン デ ィング する た め の ID 


- CustomerID= ア カウ ント を 識別 する た め の ID 


Azure Automation Cloud Agent 


この 項 で は 、 Azure Automation お よび Run コマ ンド を 使用 


Agent を 配置 する 方 法 に つい て 説明 し ます 。 


し て 、 Azure 仮想 マシ ン (VM) に Qualys Cloud 


パワ ー シ ェ ルス クリ プ ト の “qcainstall.ps1 ” が Azure サブ プス クリ プシ ョ ン に ログ イン し 、 す べ て の リソー 


スグ ルー プ を その 


に 配置 し ます 。 各 リソー スグ ルー プ を 巡 


日 


し 、 そ の 中 に VM を 配置 し ます 。Azure Run 


コマ ンド 『“ Imvoke-AzureRmVMRunCommand ” を 使 


する と 、 VM の オペ レー ティ ング シス テム に 応じ て 


Qualys Cloud Agent を イン スト ー ル する た め の ス ク ! 


cmdlet が 使 


使用 方 法 : 


前 提 人 条件 Azure 自動 化 ア カウ ント と 、 そ の Azure 自動 
う 名 前 の 自動 化 接続 アセ ッ ト が 必要 で す 。 


プ ト が ダウ レン ロー ド さ れ ま す 。 


ヒア カウ ント 内 の 『“ AzureRunAsConnection ” と い 


E 記 : この スク リプ トト は 、 パワ ー シ ェ ル の バー ジョ ン 2 以上 で の み 機 能 し ます 。 た だ し 、 Invoke-webrequest 
できない た め 、V5 コア で は 機能 し ませ ん 。 別 の 方 法 を 選択 で きま す 。 


1) ContainerName、StorageAccountName、StorageAccountKey と いう 名 前 の 変数 を 作成 し ます 。 


光 testmikaa - Variables 


Automation Account 


* キキ Add a variable ひ Refresh 


O Search (Ctrl+/ 


ー の earch variables 
志 ' Python 2 packages 
NAME TYPE 
? Credentials 
Connections ContainerName String 
過 | Certificates StorageAccountKey Unknown 
X Variables StorageAccountName String 


2) 
な Blob スト レー ジ に アッ プロ ー ド し ます 。 


testmikconpub 


Container 


邊 Upload ① ひ Refesh 面 


Location: testmikconpub 
Overview 


Access Control (IAM) Search blobs by prefix (case-sensiti 


Ve 


Setti 
NAME 
$Access policy 


qualys-cloud-agent.x86_64_qg 
ll Properties 


@ 国 qualys-cloud-agent.x86_64_qg 
Metadata 


園 QualysCloudAgent.exe 
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実行 ファ イル (Qualys Cloud Agent exe、rpm また は deb ファ イル ) を コピ ー し 、 


LAST MODIFIED 


12/18/2018. 11:18 AM 


ドド ドド ドド 3 


(encrypted) 12/18/2018, 11:19 AM 


12/18/2018, 11:18 AM 


人 で 台 ヒ 
誰 で も アク セス 可能 
tr wie E へ 百 
Show deleted bl 
MODIFIED ACCESSTIER BLOBTYPE SIZE LEASE STATE 
2.deb 12/18/2018, 1:32:34 PM Cool (Infe.… Block blob 3.67 MiB Available 
2.rpm 12/18/2018, 1:32:33 PM Cool (Infe.… Block blob 3.65 MiB Available 
12/18/2018, 1:32:34PM Cool(Infe.… Block blob 7.04 MiB Available 
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3) スク リプ ト の LinucQCA.sh お よび WindowsQCA_.ps1 に 手順 1 と 2 を 繰り 返し 実行 し 、 手 順 1 で 作成 
し た 変数 が 参照 する Blob スト レー ジ に 保存 し 、 プ ライ ベー ト に 設定 し ます 。 


testmikcon 
Container 
“| 人 f 〇 面 Delete ww Acquirelease た 8 な VI di っ 
の Eearch (Cr の TT Upload Refresh 。 思 Delete Acquire lease Break lease で View snapshots 
EF overview Location: testmikcon 
= Access Control (IAM) Search blobs by prefix (case-sensitive) Show deleted bl 
Settings 
NAME MODIFIED ACCESS TIER BLOBTYPE SIZE LEASE STATE 
$Access policy 
LinuxQCA.sh 12/18/2018, 1:44:31 PM Cool (Infe.… Block blob 2.09 KiB Available 
ll Properties 
= WindowsQCA.ps1 12/18/2018, 10:22:16 AM Cool(Infe.… Block blob 1.09 KiB Available 
Metadata 


4) Qcainstallps1 と いう 名 前 の メイ ンス クリ プ ト を Azure 自動 化 ラ ン ブ ッ ク に イン ポー ト し 、 変 数 を 編集 
し 、 保 存 し て 公開 し ます (Activationld、Customerld、url rpm, url deb)。 


Dashboard > testmikrg > testmikaa - Runbooks 


W testmikaa - Runbooks 


Automation Account 


の Search (Cr は 2 叶 Addarunbook 上 功 Browse gallery [Leammore ① Refresh 
pa の Search runbooks... 
Update management 
a Updat NAME AUTHORING STATUS LAST MODIFIED 
pdate managemen 

mm 。 AzureAutomationTutorial ツ Published 12/18/2018, 10:18 AM 

rocess Automation 
a RINBSks @ AzureAutomationTutorialPython2 ツ Published 12/18/2018, 10:18 AM 
回 Jobs > AzureAutomationTutorialScript ツ Published 12/18/2018, 10:18 AM 
回 Runbooks gallery 上 AzureClassicAutomationTutorial ツ Published 12/18/2018, 10:18 AM 
3] Hybrid worker groups > AzureClassicAutomationTutorial.… ツ Published 12/18/2018, 10:18 AM 
3 Watchertasks | > qcainstal ツ Published 12/18/2018, 12:20 PM 

5) ラン ブッ ク を 開始 し ます 。 
> qcainstall 
em Runbook 
+ tart View x» It chedule ロ ebhoo elete 2 Export efres| 
O saeh (Cr2 | ps «> Vi ¢ Edit © schedule 固 Webhook 面 Del 古 Export ORefeesh 

m Overview = Start Runbook 

回 Activity log | Are you sure that you want to start the runbook 'qcainstall'? 

$ Tags 


次 Diagnose and solve problems | 


Runbook type Last modified 
RSG PowerShell Runbook 12/18/2018, 12:20 PM 
Jobs Tags (change) 

Click here to add tags 
① Schedules 人 
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アセ ッ ト の スキ ャ ン 


この 項 で は 、 ネ ットワーク を スキ ャ ン す る 手順 に つい て 説明 し ます 。 ス キャ ン を 開始 する 前 に 、 い くつ か の 
チェ ッ ク ポ イン ト / 事 前 設定 を 確認 する 必要 が あり ます 。 


Azure スキ ャ ン の チェ ッ ク リ スト 
スキ ャ ン す る 前 に 以下 の 手順 を 実行 する こと を 推奨 し ます 。 


ュ ア プラ イア シス の ステ ー タ ダ タス の チェ ッ ク 


地 


- OS 認証 の 設 入 


- スキ ャ ン す る Azure 仮想 マシ ン に 対す る セキ ュ リ ティ グル ー プ の 設定 


アプ ライ アン ス の ステ ー タ ス の チェ ッ ク 

「VM/VMDR」 つ 「Scans」 つ 「Appliances」 に 移動 し 、 新 し い Scanner Appliance が Qualys クラ ウド プ 
ラッ ト フ ォ ー ム に 接続 され て いる こと を 確認 し ます 。 鹿 は 、 ア プラ イア ンス が 接続 され 、 ス キャ ン の 準備 が 
撃っ て いる こと を 表し ます 。 


( き ) Scans Scans Maps Schedules 民 Y9 り Eue ぶ 開 OptionProfles Authentication Search Lists Setup 
|New y search | | 1-27 of27 b 巻 y 国 還 | 
Appliance * ID LANIP WANIP Polling Scanner Signatures LastUpdate 
#" で つ vpc90-sc2 ドド 15465835141830 10902100 - 180 seconds 9233-1 2417.3 04142017 at 05:10:08 (GMT+0530) (名 ) へ 
#' で つ vpcg0-scr1 15491710005768 1090230 - 180 seconds 9233-1 2417-3 04142017 at 03:46:28 (GMT+0530) ( ぶ ) 
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OS 認証 の 設定 


ホス ト OS 認証 (信頼 で きる スキ ャ ン ) を 使 
認証 スキ ャ ン を 実行 する と 、 誤 検出 を 減ら し 、 正 確 な 結果 を 2 


E す 。 プ ロフ ァイル の 「Imital Options」 を 編集 し 、「Save As」 を 
必 存 し ます 。 こ の 新しい プロ ファ イル で 、 必 要 な 認証 タイ プ を 有効 化し 


on 


「Scans」 つ 「Option Profiles」 に 移動 し ョ 


使 


1H し て プロ ファ イル を 別 の 名 前 で 


ます 。 


「S 


Windows ) を 追加 し ます 。 認証 で 使 


Authentication 


Authentication enables the scanner to log into hosts at scan time to extend detection capabilities_ See the online help to learn 


how to configure thiS option. 


レ | windows 
レ | Unecisco 
Oracle 
| | Oracle Listener 
| | sNMp 
| | VMware 
| ] p82 
| ] HTTP 


| | wsau 


] す る と 、 ス キャ ン 
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に 各 対 象 シ ステ ム に ログ イン で きま す 。 
る こと が で きま す 。 


cans」 っ 「Authentication」 に 移動 し ます 。 ス キャ ン す る Azure 仮想 マシ ン の 認証 レコ ー ド (Unix や 


H す る アカ ウン ト の 資格 情報 を 認証 レコ ー ド に 追加 する 必要 が あり ま 


す 。 こ れ は OS ユー ザ の アカ ウン ト で あり 、AIM ユー ザ の アカ ウン ト で は あり ませ ん 。 対象 の シス テム で 


on 


証 用 に 専用 の アカ ウン ト を 作成 する こと を お 勧め し 


Vulnerability Management マ 


Dashboard | windows Record... 


Unix Record... 
に 放 Oracle Record... 
Oracle Listener Record... 


SNMP Record... 
MS SQL Record... 
Overview _Cisco Record... 


Credentials Breg IBM DB2 Record... 
VMware Record... 


Search 


4 | MySQL Record... 
Sybase Record... 

3 Checkpoint Firewall... 

2 PostgreSQL Record... 
HTTP Record... 

1 | Application Records... 

0 | Authentication Vaults 
Download... 


| 
ン New wv 


KnowledgeBase Users 


Failing 0 Problematic 0 InVaut 0 


| 回 Help w sada-cus 


Option Profiles Authentication 


Windows 


Unix レコ ー ド の 例 
1) ログ イン 資格 情報 
Edit Unix Record 


Record Title し 


Login Credentials >» 


Private Keys / Certificates > 


Root Delegation > 


Qualys Shell > 


Policy Compliance Ports >» 


IPs > 


Comments x 


2) 秘密 鍵 - 鍵 認 証 を 


Securing Microsoft Azure with Qualys 
アセ ッ ト の スキ ャ ン 


- OS の ユー ザ 名 を 入力 し 、「Skip Password」 を 選択 し ます 。 


Tum help tips: On | Off LaunchHelp 


Authentication 


Provide login credentials to use for authenticated scanning. You have the option to get the login password from a vault available in your 
account 


Usermame“ ec2-user 
Get password from vault 
レ | skip Password 
Password: 
Confirm Password*- 


お 勧め し ます 。 鍵 の タイ プ (RSA、DSA、ECDSA、ED25519) を 選択 し 、 秘 密 鍵 の 
E す 。 


Set private key / certificate for your Unix record 


Get private key from vault: 
Private Key Type- 


Private Key Content- 


RSA マ 


ネネ ネネ ネネ ネネ ネネ ネネ Private Key InStalled ネネ ネネ ネネ ネネ ネ ※ ネ ネネ 


Paste the private-key content into the space provided. See Help for more details 


ド EV/ コ 3 


60 


3) IP - この レ ュ ー ド の Azure 仮想 マシ ン の Unix IP アド レス / 範 
報 は 、 こ れ ら の アセ ッ ト の スキ ャ ン に 使用 され ます 。 


Edit Unix Record 


Record Title > TPs 
Login Credentials > Add IPs to your Unix record 
Private Keys /Certificates > Enter or Select IPs/RandeS- 
RS 10.97.15.117 

Root Delegation > 

Qualys Shell > 


Policy Compliance Ports > 


[ 」 Display each IP/Range on new line 


Windows レコ ー ド の 例 


Securing Microsoft Azure with Qualys 
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選択 し ます 。 こ の レ ュ コード の 資格 情 


1) ログ イン 資格 情報 - OS の ユー ザ 名 を 入力 し 、「Skip Password」 を 選択 し ます 。 


Edit Windows Record 


Launch Help 


Confirm Password: 


Choose Authentication Protocols 


| NTLMv2 


NTLMv1 
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Record Title 。 Login Credentials 
om credentals ? Windows Authentication 
IPs > ® Local 
Comments > ( 〇 Domain 
Login 
Use the basic login credential or choose to use authentication Vault for authenticated scannind 
(@) Basic authentication (OD Authentication Vault 
User Name- * admin 
Password の の の る の の る の 


Welll attempt authentication to target hosts usin the authentication protocols you select below. in the order listed. 


Securing Microsoft Azure with Qualys 
アセ ッ ト の スキ ャ ン 


2) IP - この レコ ー ド の Azure 仮想 マシ ン の Windows IP アド レス / 範囲 を 選択 し ます 。 こ の レコ ー ド の 資 
格 情報 は 、 こ れ ら の アセ モッ ト の スキ ャ ン に 使用 され ます 。 


Edit Windows Record Launch Help 


Record Title IPs 
の Add IPs to your Windows record. 
Login Credentials 
Enter or Select IPs/Ranqes: Select IPs/Ranges | Select Asset Group | Remove | Clear 


IPs し 10.1.0.133, 10.1.1.108 


Comments 


Display each IP/Ranqe on new line 


OS 認証 の 詳細 
認証 レコ ド の ワー ク フ ロ ー に ON 詳細 な 手順 と 使用 可能 な すべ て の オプ ショ 
ン に つい て の 説明 が あり これ ら の 文書 を 参照 の た め に 使 1 する と 便利 で す 。 


Qualys Windows 認証 ガイ ド (PDF、 英 語 ) 


Qualys Unix 認証 ガイ ド (PDF、 英 語 ) 


スキ ャ ン す る Azure 仮想 マシ ン に 対す る セキ ュ リ ティ グル ー プ の 設定 
Azure で は 、 Scanner Appliance また は Scanner Appliance の セキ ュ リ ティ グル ー プ の IP アド レス の すべ て 
の ポー ト に 、 イ ン バ ウ ンド アク セス を 許可 する セキ ュ リ ティ グル ー プ を 関連 付け る 必要 が あり ます 。 


ント と ベス ト プ ラ クティ ス 


Qualys で 定義 し た ネッ トワ ー ク が ある 場合 の Virtual Appliance の 移動 


この ステ ッ プ は 、 お 客 様 の Qualys アカ ウン ト で カス タム ネッ トワ ー ク を 定義 済み で ある 場合 に 
推奨 され ます 。 


デフ ォ ル ト で は 、 新 規 の Virtual Scanner Appliance は 、 グ ロー バル デフ ォ ル ト ネ ッ トワ ー ク に 配 

置 さ れ 、 ス キャ ン が 実行 され る と 、 ホ スト スキ ャ ン デ ー タ が この ネッ トワ ー ク に 追加 され ます 。 

a トワ ー ク の スキ ャ ン を 行う 前 に 、 こ の Virtual Scanner Appliance を 目的 の ネッ ト 
に 移動 し て お く こ と を お 和 勧め し ます 。 


「Assets」 つ 「Networks」 に 移動 し 、Virtual Appliance を 移動 する ネッ トワ ー ク を 編集 し て 、 ア 
12202000 この 0 01 SB 
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Virtual Scanner Appliance を 使用 し た 内 部 スキ ャ ン 


li 


1) 要件 に 応じ し て 、「AssetView」 アプ! 
例 : 


『 前 認証 済み Scanner Appliance を 使用 


し た スキ ャ ン に は 、 以 下 の ス テッ プ が あり ます 。 
の 「 ク ラウ ドア セッ ト 検 索 」 フ ィ ル タ で 動 的 タグ を 作成 し ます 。 


Qualys サブ プス クリ プシ ョ ン 内 の すべ て の 実行 中 VM: azure .vm. gtate : "RUNNTNG" 


Azure サブ プス クリ プシ ョ ン 内 の すべ て の 実行 中 VM: azure. vm. subscriptionId: <your Azure 


Subscription Id> and azure 


ロケ ーション 内 の すべ て の 実行 中 VM: 
azure.vm. location:westus 


vm. state: "RUNNING" 


azure.vm. state: "RUNNING" and 


リソー スグ ルー プ 内 の すべ て の 実行 中 VM: azure.vm. state: "RUNNING" and 


azure.vm.resourceGroupName 


スト アセ ッ ト へ の API クエ リ を 使用 し 


4) OS 認証 の 設定 を 行い ます 。 


「Schedule Scan」) を 選択 し ます 。 


VMDR y 


Dashboard Vulnerabilitles Prioritization 


(DEER 半 scans M Seaues 

Na v | searh Flem 

Title RM 
EC2 Scan 
Cloud Permeter Scan 
CertView Scan 
Cloud CertVew Scan 
Schedule Scan 
Schedule EC2 Scan 
Schedule CertView Scan 
Schedule Cloud CertView Scan 


Host 2 
Asset Group 
Option Profile 


Download 


:testRG 


2) 上 記 の 手順 で 作成 し た タグ に よっ て 返さ れ た マシ ン の IP アド レス を 取得 し ます 。 ダ ウン ロー ド ま た は ホ 


て 取得 で きま す 。 


3) これ ら の IP アド レス を 、VM/VMDR の 「Assets」 タ ブ で 、「Asset Groups]」 と し て グル ー プ で 、 ま た は 
Host Assets」 と し て 個々 に 追加 し ます 。 


5) ここ で 、 ス キャ ン を 開始 し ます 。「VM/VMDR」 一 「Scans」 一 「Scans」 っ 「New」 つ 「Scan」( ま た は 


Scans Reports Remediation 


ApplianceSs OptionProfles | 


Targets 


No scan found matching your flers. Pl@ 
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6) スキ ャ ン の 対象 を 指定 し ます 。「Assets」 を クリ ッ ク し て 、 ス キャ ン す る アセ モット グル ー プ と IP アド レ 


ス の 組み 合わ せ を 選択 する か 、「Tags」 を クリ ッ ク し て 、 ス キャ ン す る アセ ッ ト タ グ を 1 以上 選択 し ます 。 


7) 


General Information 


Give your scan a name, Select a scan profile (a default is selected for you with recommended settings). and choose a scanner from the 


Scanner Appliance menu for internal scans, if visible. 


Title: azure_sCan 

Option Profile: * Initial Options (default) 
Processing Priority: 0 - No Priority ャ 
Network: Global Default Network Y 
Scanner Appliance: pyscand-quckh_ak 


Choose Target Hosts from 


*y Select 


区 view 


Tell us which hosts (IP addresses) you want to scan. 
®) Assets © Tags 


Asset Groups 10.113.199.10-10.113.199.44 % 
10.115.75.116-10.115.75.125 x 


IPs/Ranges 2000:2a7:3b3d:7f29:fdd2:652d:d5bb:4147 


Example fe80::912e:21f6:887e-fff1, fe80::912e:21f6:887e: 伯 2 


Exclude IPs/Ranges 


Example: fe80::912e:21f6:887e-ff1, fe80::912e:21f6:887e:ff2 


「Launch」 を クリ ッ ク す る と 、 完 了 で す 。 
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Qualys Cloud Agent を 使用 し た 内 部 ネッ トワ ー ク の スキ ャ ン 


当社 の 革新 的 な Qualys Cloud Agent プラ ッ ト フ ォ ー ム を 使用 する と 、Azure イン フラ スト ラク チャ の セ 
キュ リティ と コン プラ イア ンス を 継続 的 に 評価 する 軽量 の Cloud Agent を 導入 する こと が で きま す 。 


Cloud Agent の 機能 
- ポー ト 443 を 使用 し て Qualys クラ ウド プラ ッ ト フ ォ ー ム と 通信 し 、 プ ロキ シ 設 定 を サポ ー ト し ます 。 


- Linux お よび Windows OS の 各 バ ー ジ ョ ン で の スキ ャ ン を サポ ー ト し ます 。 
推奨 リソー ス 


(OfalXSi2020 の IN ブ ラー トド クシ ショ ム 
Qualys Cloud Agent 操作 ガイ ド 


操作 手順 
Cloud Agent (CA) アプ リケーション に 移動 し て 、Cloud Agent を イン スト ー ル し ます 。 


⑲⑨ Qualys. 


Cloud Agent マ 


ダッ シュ ボー ド エー ジェ ント 管理 
SS エー ジェ ント 管理 a アク ティ ブ 化 キー 設定 プロ ファ イル 
保存 済み の 検索 > 
新規 アク ティ ブ 化 キー ヒン ト 表 示 : 有効 | 無効 
| 新しい エー ジェ ント の イン スト ー ル | | アク ティ ブ 化 ジ 
新規 アク ティ ブ 化 キー を 作成 
アク ティ ブ 徐 キー は 、 エ ー ジ ェ ン ト を イン スト ー ル する た め に 使用 され ます 。 ご これ に より 、 エ ー ジ ェ ン ト を グル ー プ 化 : 
新しい エー ジェ ント を イン スト ー ル し て きる た め 、 ア カウ ント が 管理 し や すく な り ま す 。 デ フォ ルト で は 、 こ ご の キー に 制限 は あり ませ ん 。 い つ で も 任意 の 数 の : 
~ ー ジ ェ ン ト を 追加 で きま す 。 
イン スタ ンス に 直接 配置 する か 、 a 
AMI に 埋め 込み ます タイ トル AzureAGENT 


選択 | 作成 
アプ リケーション (VM、PC な ど ) に 一 一 一 
キー を 割り 当て 、 ア クティ ブ 化 し ます 


Azure 


ご れ ら の アプ リケーション の セッ ト ア ッ プ キー 


Asset os 


Qualys 外部 スキ ャ ナ を 使用 し た ペリ ミタ ー ス キャ ン 


Qualys 外部 スキ ャ ナ (イン タネ ッ ト リ モー トス キャ ナ ) は Qualys クラ ウド プラ ッ ト フ ォ ー ム に 配置 され て 
お り 、Azure 仮想 マン シン の ベリ ミタ ー ス キャ ン に 使用 され ます 。 


- Qualys の 標準 スキ ャ ン ワ ー ク フロ ー を 使用 し ます 。 
- ユー ザ は 、 自 分 の アカ ウン ト に 仮想 マシ ン の 公開 IP を 追加 する 必要 が あり ます 。 
- Qualys 外部 スキ ャ ナ は 、 IP ベー ス の スキ ャ ン と DNS ベー ス の スキ ャ ン の 両方 を サポ ー ト し て いま す 。 
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操作 手順 
1) 要件 に 応じ て 、「AssetView」 ア プリ の 「 ク ラウ ドア セッ ト 検 索 」 フ ィ ル タ で 動 的 タグ を 作成 し ます 。 


例 : 


Qualys サブ スク リプ ショ ン 内 の すべ て の 実行 中 パプ ブ リック VM: not azure.Ym.pub11ocTpAdqdregg 
is nu11] and azure.vm. state: "RUNNTNG" 


Azure サブ プス クリ プシ ョ ン 内 の すべ て の 実行 中 パブ リッ ク VM: not azure.vm.publicIpAddress 
is null and azure.vm.subscriptionId: and azure.vm.state: "RUNNTNG" 


ロケ ーション 内 の すべ て の 実行 中 パブ リッ ク VM: not azure.vm.publicIpAddress is null 
and azure.vm. state: "RUNNTNG" and azure.vm.location:westus 


リソー スグ ルー プ 内 の すべ て の 実行 中 パブ リッ ク VM: not azure.vm.publicIpAddress isg 
null and azure.vm.state: "RUNNING" and azure.vm.resourceGroupName: testRG 


2) 上 記 の 手順 で 作成 し た タグ に よっ て 返さ れ た マシ ン の IP アド レス を 取得 し ます 。 ダ ウン ロー ド ま た は ホ 
スト アセ ッ ト へ の API クエ リ を 使用 し て 取得 で きま す 。 


3) これ ら の IP アド レス を 、VM/VMDR で 、「Asset Groups」 と し て グル ー プ で 、 ま た は 「Assets」 タ ブ の 
「Host Assets」 と し て 個々 に 追加 し ます 。 


4) ここ で 、 ス キャ ン を 開始 し ます 。「VM/VMDR」 一 「Scans」 つ 「Scans」 つ 「New」 つ 「Scan」( ま た は 
「Schedule Scan」) を 選択 し ます 。 


_VMDR マン 


Dashboard Vulnerabilities Prioritizattion Scans R 


(③ に TE ScanS Maps Schedules Appliancd 


| New w | Search | Filters w 
Scan 


Title 
EC2 Scan 


Cloud Perimeter Scan No scan 
CertView Scan 

Cloud CertView Scan 

Schedule Scan 

Schedule EC2 Scan 

Schedule CertView Scan 


Schedule Cloud CertView Scan 


5) スキ ャ ン の 対象 を 指定 し ます 。「Assets」 を クリ ッ ク し て 、 ス キャ ン す る アセ ッ ト グ ルー プ と IP アド レ 
ス の 組み 合わ せ を 選択 する か 、「Tags」 を クリ ッ ク し て 、 ス キャ ン す る アセ ッ ト タ グ を 1 つ 以 上 選択 し ます 。 
「Option Profile」 に は 、 最 初 は 「Initial Options」 を 使用 する こと を お 勧め し ます 。「Scanner Appliance」 で 
「External」 オプ ショ ン を 選択 し 、 ス キャ ン 対 象 に ITP アド レス / アセ モット グル ー プ を 選択 し ます 。 
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Launch VuInerability Scan Tum help tps: On | Off Launch Help 


General Information 


Give your scan a name, Select a scan profile (a default is selected for you with recommended settings), and choose a Scanner 
from the Scanner Appliance menu for internal scans. if visible 


Title azure_ex 

Option Profile: * Initial Options (default) *y Select 
Processing Priority 0 - No Priority 

Network Global Default Network v 

Scanner Appliance Extermal Y fiev 


Choose Target Hosts from 


Tell us which hosts (IP addresses) you want to scan 


Assets ® Tags 


Use IP Network Range Tags 


Choose from tags defined with IP address rules. This will allow you to scan the entire IP range(s) in each 
selected tag 


Include hosts that have Any _ Lv, of the tags below Add Tag 


mytag 


6) 「Launch」 を クリ ッ ク す る と 、 完 了 で す 。 


スキ ャ ン の オプ ショ ンプ ロフ ァイル の 設定 
スキ ャ ン の オプ ショ ンプ ロフ ァイル の 一 部 と し て 、 ス キャ ナ は 、 IP へ の アク セス を 試み 、 仮想 マシ ン へ の ア 


いい 


クセ ス を 試み ます 。 Windows/Unix に 対す る 認証 が 有効 化 さ れ て いる こと を 確認 し ます 。「OS 認証 の 設定 」 
を 参照 し て くだ さい 。 
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クラ ウド イン ベン トリ お よび セキ ュ リ ティ 評価 


この 項 で は 、 ク ラウ ドア セッ ト お よび リソー ス な どの クラ ウド イン ベン トリ の 検出 に つい て 説明 し ます 。 ま 
た 、 すべ て の アセ モッ ト お よび リソー ス の パブ リッ ク ク ラ ウド セキ ュ リ ティ の 状態 を 完全 に 表示 する セキ 


ティ 評価 に つい て も 説明 し ます 。 


クラ ウド イン ベン トリ 


T 


ュ ユリ ! 


Qualys クラ ウド イン ベン トリ は 、 Microsoft Azure の すべ て の リー ジョ ン お よび 複数 の サブ スク リプ ショ ン 


で 、 仮 想 マ シン 、SQL デー タベース 、 


ネッ トワ ー ク セキ ュ リ ティ グル ー プ 、WebApps な どの アセ ッ ト お よ 


び リ ソー ス を 継続 的 に 検出 し て 追跡 し 、 グ ロー バル な リー ジョ ン 全 体 で 、 ク ラウ ドイ ン ベ ン トリ お よび ア 
セッ ト の 場所 を 一 目 で わか りや すく 包括 的 に 表示 し ます 。 これ ら す べ て の 情報 を 1 か 所 に まとめ て 表示 で き 


ます 。 
機能 : 
- 事前 作成 済み の ダッ シュ ボー ド を 使 


用 し て イン ベン トリ の 概要 を 簡単 に 表示 し 、 カ スタ ム の ウィ ジェ ッ ト 


を 使用 し て 独自 に 個別 化し た り 作 成 し た り で きる 


- 各 リ ソー ス の 豊富 な メタ デー タ を 収集 し 、 リ ソー ス 間 の 関連 付け を 表示 する こと で 、 ど の セキ ュ リ ティ グ 
ルー プ が 公開 され 保護 され な い 可 能 性 が ある の か 、 ど の 関連 アセ ッ ト が 影響 を 受け る の か と いっ た シナ リオ 


を 把握 で きる 


⑲⑨ Qualys. Enterprise 


Microsoft Azure v List View 


6 = = 
ゃ 、 a 、 
a 
Total Resource Types - 3 ュー ご 
ーー 
0 2nd Jan 3rdJan 14th Jan 16th Jan 17m Jan 18th Jan 23rd Jan 24th Jan 
SUBSCRIPTION ID 1-6of 6 
122 
101 RESOURCE TYPE me TOTAL RESOURCES RESOURCES FAILED 
86 
SQL Servers 10 
國 。 SQLServer 7 
65 
Te SQL Server Database SQL ServerDatabases 9 0 
RESOURCE TYPE [WW) Resource Group Resource Groups 112 0 
Network Security.. 174 
Virtual Machine 173 ぐ ゥ Virtual Network i 90 0 
Resource Group 112 
Virtual Network 90 回 VirtualMachine Virtual Machines 173 0 
SQL Server 10 
Tr | Network Security Group Network Security Groups ] 74 115 
LOCATION 
California 118 
Virginia 83 
Virginia 2 64 
Pune 61 
lowa 49 
20 more 


CloudView DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 


Q Search for resources discovered.. . ThisMonh マ v 三 


be 
© 
Ri 
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クラ ウド セキ ュ リ ティ 評価 
Qualys クラ ウド セキ ュ リ ティ 評価 は 、 す べ て の アモ セット お よび リソー ス の パブ リッ ク ク ラ ウド セキ ュ リ 
ティ の 状態 を 完全 に 表示 し ます 。 詳 細 に つい て は 、『CloudView 操作 ガイ ド 』 を 参照 し て くだ さい 。 


機能 : 
- ダッ シュ ボー ド を 使用 し て 、 イ ン ベ ン トリ お よび セキ ュ リ ティ 状態 の 概要 を 簡単 に 表示 する 


- クエ リ や その 他 の 基準 ぐ 失敗 に 基づく 上 位 10 の アカ ウン ト ”、“ 失敗 し た 上 位 10 の コン トロ ー ル "な 
ど ) に 基づい て 、 カ スタ ム の ウィ ジェ ッ ト を 使用 し て 独自 に 個別 化し た り 作成 し た りす る 


- CIS Microsoft Azure Foundations Benchmark や Azure Best Practices Policy な どの 追加 設定 不要 の 
Azure ポリ シー 


- 追加 設定 不要 の ポリ シー の コン トロ ー ル に 従っ て チェ ッ ク し 、 リ ソー ス の 構成 ミス を 継続 的 に 評価 し て 報 
告 する 


- 必要 に 応じ て 、 独 自 の ポリ シー を 作成 し 、 コ ント ロー ル を カス タマ イズ する 
- 構成 ミス の 表示 、 フ ィ ル タリ ング 、 エ クス ポー ト 


⑲⑨ Qualys. Enterprise 
3 DASHBOARD RESOURCES MONITOR POLICY REPORTS CONFIGURATION 中 
IOuUdVIeW 
Microsoft Azure v 
Q search..… Last24Hrs vl 三 
4 6 EVALUATIONS SECURITY POSTURE FAILURES BY CRITICALITY 
Total Controls Evaluated 
3.04K 1.88K 1.16K lS 3S 91 
Total Evaluations Pass Fail High Medium Low 
a 
POLICY | 1-76of 76 
CIS Microsoft Az.. 70 
Azure Best Practi 5 a _ 
いい ' 50001 Ensure that Data encryption is set to ON for a SQL database SQL Servers oe 
Policy : CIS Microsoft Azure Foundations Benchmark 
CONTROL RESULT 間 
FAIL 63 50002 EnsurenoSQL Servers allow ingress from Internet (ANY IP) SQL Servers 1 1 
ーー 
PASS 13 Policy : CIS Microsoft Azure Foundations Benchmark aa 
SUBSCRIPTION 50003 Ensurethat Adaptive Application Controls is set to On Security Center 1 ア 
Policy : CIS Microsoft Azure Foundations Benchmark km et 
72 
63 50004 Ensurethat Automatic provisioning of monitoring agent is set to On HIGH Security Center 3 5 
0 Policy : CIS Microsoft Azure Foundations Benchmark rr 
53 | | 
47 50005 Ensurethat System updates should be installed on your machines is set to _ Security Center 1 7 
3 more Policy : CIS Microsoft Azure Foundations Benchmark BFF 
SERVICES 50006 Ensure that Vulnerabilities in security configuration on your machines shou.. Security Center 1 7 
Security Center 25 Policy : CIS Microsoft Azure Foundations Benchmark sl 
Monitor 10 a っ 
ee 7 50007 Ensure that Monitor missing Endpoint Protection in Azure Security Center i.. Security Center 1 7 
ェ ュ ーーーーーーー 
Policy : CIS Microsoft Azure Foundations Benchmark RTS 8 
PostgreSQL server 7 


69 


Securing Microsoft Azure with Qualys 
アセ ッ ト の スキ ャ ン 


Web アプ リケーション の セキ ュ リ ティ 保護 
Qualys を 使用 する と 、 ア プリ ケー ショ ンス キャ ン と ファ イア ウォ ー ル の ソリ ュー ショ ン を 使用 し て アプ リ 
ケー ショ ン の セキ ュ リ ティ を 確保 する こと が で きま す 。 


Policy Compliance 
PC Define and monitor IT security standards aliqned with 
requlations 


Security Assessment Questionnaire 
Automate risk and compliance through questionnaire 


SAQ campaigns 


PCI Compliance 
Achieve compliance with the PCI Data Security 
Standard (DSS) 


PCI 
Web Application Scannind 
RI 
Reporting 


Web Application Firewall 


WAF Detect attacks and protect your web applications 


Malware Detection 
Scan and Monitor Your Sites for Malware Infections 


Qualys WAS 


Qualys Web Application Scanning (WAS) に は 、 ク ロス サイ トス クリ プティ ング (XSS) や SQL イン ジェ 
クシ ョ ン を 含む アプ リケーション と REST API の 脆弱 性 を 識別 する た め に 、 カ スタ ム Web アプ リ ケ ー シ ョ 
ン に 対す る 自動 巡回 と テス ト の 機能 が あり ます 。 こ の 機能 を 使用 する に は 、Azure に よっ て 事前 認証 済み の 
Qualys Virtual Scanner Applance を イン スト ー ル し ます 。 こ の アプ ライ アン ス は 、 脆 弱 性 や コン プラ イア 
ンス を 確認 する スキ ャ ン で 使用 3 れる アプ ライ アン ス と 同じ も の で す 。 


操作 手順 
- 「Qualys スキ ャ ナ の 配置 」 の ステ ッ プ に 従っ て くだ さい 。 
- 『Qualys Web Application Scanning 操作 ガイ ド 』 の 手順 を 参照 し て くだ さい 。 


Qualys WAF 


Qualys Web Application Firewall (WAF) を 使用 し て 、 フ ァ イ ア ウォ ー ル ルー ル と 即座 に 適用 され る 仮想 
パッ チ を 使用 し て アプ リケーション を 保護 し ます 。 


操作 手順 
- Azure で 入手 で きる Web Application Firewall Appliance を イン スト ー ル し ます 。 
- 『Qualys Web Application Firewall 操作 ガイ ド 』 の 手順 を 参照 し て くだ さい 。 
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コン テ ナ の セキ ュ リ ティ 保護 


Qualys Container Security は 、 コ ン テ ナ 環境 の 検出 、 追 跡 、 継 続 的 な 保護 を 行い ます 。DevOps パイ プラ イ 
ン 内 の イメ ー ジ や コン テ ナ の 脆弱 性 管理 、 ク ラウ ド 環 境 お よび オン プレ ミス 環境 に わた る 配置 を 取り 扱い ま 


す 。 
Qualys Container Security は 、 以 下 を サポ ー ト し て いま す 。 
- コン テ ナ 環 境 の 検出 、 リ スト の 作成 、 ほ ぼ ば リアルタイム で の 追跡 


- イ メー ジ と コン デ テ ナ の 脆弱 性 分 析 
- レジ スト リ の 脆弱 性 分 析 


T 


- Jenkins/Bamboo プラ グイ ン ま た は REST API の 使用 に よる CI/CD パイ プラ イン と の 統合 (DevOps フ 


ロー) 
⑲⑨ Quglys. Enter 
Container Security HOME DASHBOARD ASSETS CONFIGURATIONS 2 @9 避 
ーー 


Container Security Overview v 


Last 30 Days マ 人 


TOTAL IMAGES TOTAL CONTAINERS 


328 604 


IMAGE DISTRIBUTION BY VULNERABILITY SEVERITY CONTAINER DISTRIBUTION BY VULNERABILITY SEVERITY 
加 | 
IMAGE DISTRIBUTION BY REGISTRY CONTAINER DISTRIBUTION BY STATE 


Q 


169 
docker.io 138 
k8s.gerio 86 較 


ま 細 に つい て は 、『Qualys Container Security ユー ザ ガ イ ド 』 を 参照 し て くだ さい 。 


Du 
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コン テ ナ セ ン サ の 配置 

Qualys の セン サ は 、Docker 環境 を ネイ ティ ブサ ポー ト す る た め に 設計 され て いま す 。 セ ン サ は Docker イ 
メー ジ と し て パッ ケー ジ 化 され て 配信 され ます 。 こ の イメ ー ジ を ダウ ン ロ ー ド し て 、 他 の アプ リケーション 
コン テ ナ と 共に コン テ ナ と し て ホス ト に 配置 し ます 。 

セン サ は Docker を ベー ス に し て いる た め 、 他 の アプ リケーション コン テ ナ と 同様 に 、 Kubernetes、Mesos、 
Docker Swanrm な どの オー ケス トレ ーション ツー ル 環 境 に 配置 で きま す 。 


詳細 に つい て は 、『Qualys Container Security Deployment Guide』 を 参照 し て くだ さい 。 
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分 析 、 レ ポー ト 、 改 善 


この 項 で は 、 ア セッ ト を クエ リ す る 方 法 、 ウ ィ ジ ェ ッ ト と ダッ シュ ボー ド を 作成 する 方 法 、Azure アセ ッ ト 
の 脆弱 性 レポー ト を 生成 する 方 法 に つい て 説明 し ます 。 


Azure アセ ッ ト を クエ リ す る 方 法 


高度 な 検索 機能 を 使用 する こと で 、 ア セッ ト に 関す る すべ て の 情報 を 1 か 所 で すばやく 検索 する こと が で き 
ます 。AssetView アプ リ を 選択 し 、「 ア セッ ト 」 タ ブ を 選択 し ます 。 こ こ に 、 す べ て の スキ ャ ン 済 み ア セッ 
ト の イン ベン トリ が 表示 され ます 。 す べ て の Azure アセ モッ ト を 検索 する 場合 、 プ ロバ イダ を 入力 し 、 ド ロッ 
プ ダ ウン メニ ュー か ら 「Azure」 を 選択 し ます 。 


AssetView マ 


ヘル 
ダッ シュ ボー ド アセ ッ ト テンプレート コネ クタ 
: 三 AssetVicw 答 2 客 0 導 タグ ルール 
保存 済み の 検索 < ウィ ジェ ッ ト を 作成 保存 
provider: 
で …… @ 
AWS SN 
Ep し 構文 の ヘル プ 
に ーー provider 
ここ に クエ リ を 入力 に こさ 
AZure 検索 対象 の クラ ウド サー ビス プロ バイ ダ の 名 前 震 缶 ## を 選択 し ます 。 名 前 は 、 ド ロッ プ ダ ウン 
メニ ュー で 選択 し ます 。 
例 
Amazon AWS か ら 同 期 さ れる アセ ッ ト の 表示 
provider: ST 
ロロ 100615-MM.local é MacOSX10.13.4 [ec | root Inventory Scan Complete 


多数 の Azure アセ ッ ト プ ロ パ ティ を 検索 で きま す 。Azure と 入力 し 始め る と 、 検 索 に 使用 で きる Azure ア 
セッ ト プ ロ パテ ィ (トー クン ) の リス ト が 表示 され ます 。 トーク ン 名 に マウ スポ イン タ を 合わ せる と 、 右 側 
に 構文 の ヘル プ が 表示 され ます 。 


AssetView マ ヘル プ マン 


ダッ シュ ボー ド アセ ッ ト テンプ レー ト コネ クタ 


‘=— AssetView 


保存 済み の 検索 v ウィ ジェ ッ ト を 作成 保存 
az 【 ? 】 検 
Bure tags 

構文 の ヘル プ さら に 表 
茹 ure.tags.name azure.tags 
Eure tags.value テキ スト 値 縮 捧 # を 使用 し て 、 持 定 の タグ 名 と 値 を 持つ Azure イン スタ ンス を 検索 し ます 。 ど 
Ei ちら も 大 文字 と 小文字 を 区 別 し ま せん 。 


廊 ure.vm.imagePublisher 細 
Eu a キー が 「abc」 で 値 が 「xyz」 の タグ を 持つ Azure イン スタ ンス の 検索 
Ire.vm.iImageVersion 


azure. tags: (name:abc and value:xyz) 


四 ure.vm location 


Fure vm macAddress 


localhost.localdomain 8 Oracle Enterprise Linux 5.9 EY coot 


Inventory Scan Complete 
10.113.199.111 


Aprill 9, 2018 
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アセ ッ ト の 詳細 を いつ で も 表示 


アセ ッ ト イ ン ベ ン トリ に 最新 の 脆弱 性 お よび コン プラ イア ンス デー タ を いつ で も 表示 で きま す 。 ア セッ ト 名 
を 選択 し 、「 ク イッ クア クシ ョ ン 」 メニュー か ら 「 ア セッ ト の 詳細 を 表示 」 を 選択 する だ け で す 。 


AssetView マ 


ヘル プ マ マ Log out 
ダッ シュ ポー ド アセ ッ ト テンプ レー ト コネ クタ 
: 三 Assetvicw B22 2 ルル 
時 存 済み の 検索 ・ * アセ ッ ト 


9 ws 24 


アセ ッ ト 名 OS モジ ュー ル 最終 ログ イン ユー ザ アク ティ ビ テ ィ ソー ス タグ 
以 Thel73 A Red Hat Enterprise Linux Server 7.3 ET EY Kagent 新規 


Cloud Agent 
fe80:0:0:0:20d:3aff-fef2:aaad, 10, 


ロロ SLES12 lkagent 新規 Cloud Aoent 
10.0.0.6. fe80:0:0:0-20d-3aff.fei2 ea Novermbe 
口 sles12-new © SUSE Linux Enterprise Server 12 SP3 [ec | lkagent 新規 Cm 
クエ リ の 保存 
検索 内 容 は 、 再 使用 や 他 の ユー ザ と の 共有 の 目的 で 、 簡 単に 保存 する こと が で きま す 。 
AssetView マ ヘル プッ マ | 当 Le 


ダッ シュ ポー ド アセ ッ ト テンプレート コネ クタ 


: 三 AssetView 


保存 済み の 検索 * 


ウィ ジェ ッ ト を f ・ アセ ッ ト 
け Od 
provider:"Azure ne @ 検索 10 
ww 
芽 目 セッ ト マ か 
0 
アセ ッ ト 名 OS モジ ュー ル 最終 ログ イン ユー ザ アク ティ ビ テ ィ ソー ス タグ 
口 rhel73 ARed Hat Enterprise Linux Server 7 3 新規 検索 を 作成 x | 褒 詳 


fe8 fef2-aaad, 10 


保存 済み の 検索 


保存 済み の 検索 を 使用 する と ィ イル タ か ら 別 の 検索 フィ ル タ に すばやく 移動 で きま 


Sloud Agent 
口 A Ubuntu1710 © Ubuntu Linux 17.10 


fe80-0.0-0:20d-3afFfef2:5abe. 10 す 。 
検索 タイ トル * () 必須 フィ ー ル ド 
My Azure assets 
この 検索 を お 気に入り に 追加 
この 検索 を 他 の ユー ザ と 共有 


キャ ン セ ル 
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検索 結果 の ダウ ン ロ ー ド と エク スポ ー ト 


検索 結果 の エク スポ ー ト は 1 分 ほど で 終了 し ます 。「 ツ ー ル 」 メ ニュ ー か ら 「 ダ ウン ロー ド 」 を 選択 し ます 。 
次 に 、 エ クス ポー ト の 形式 を 選択 し て 、「 ダ ウン ロー ド 」 を クリ ッ ク し ます (複数 の 形式 の 中 か ら 選 択 )。 


AssetView マ AL プッ | s 


ログ アァ ウ ト 


ダッ シュ ボー トド アセ ッ ト テン プレ ー ト コネ クタ 


‘= AssetView 


保存 済み の 検索 < ウィ ジェ ッ ト を 作成 保存 

az | 検索 
+ v 

し アセ ッ ト 名 OS モジ ュー ル 最終 ログ イン ユー ザ アク ティ ビ テ ィ 


= 
rhel73 の Red Hat Enterprise Linux Server 7 3 デー タリ スト の ダウ ン ロ ー ド 
ie80:0:0:0:20d:3aff-fef2:aaad, 10 


ダウ ン ロ ー ド 形式 の 選択 (の Sa フィー ルド 


口 A Ubuntu1710 © Ubuntu Linux 17.10 
fe80-0-0-0-20d-3af 2:5abe, 10 


カン マ 区 切り 値 (CSV) 

EY Extensible Markup Language (XML) 
ロ Portable Document Format (PDF) 

EA | Microsoft Word (DOC 

圧縮 され た HTML ペー ジ (ZIP) 

Web アー カイ ブ (HTML) - Internet Explorer 7 より 新しい プラ ウザ また は 各種 モダ ンプ 
ラウ ワザ 用 


(GMT 09:00) Yakutsk Time (YAKT Asia/Chita) マン 


rt En 


ウィ ジェ ッ ト の 作成 


クエ リ に 基づい て ウィ ジェ ッ ト を 作成 し 、 そ れ を ダッ シュ ボー ド に 追加 で きま す 。 例え ば 、Qualys VM を 
使用 し た 脆弱 性 スキ ャ ン が 1 か 月 間 行 われ て いな い Azure アセ ッ ト を 検索 し ます 。 ク エリ は 以下 の と お り 
で す 。 


provider:"Azure" AND NOT lastVmScanDate: [now-30d..now-1s] 


次 に 、「 ウ ィ ジ ェ ッ ト を 作成 」 を 選択 し ます 。 タ イト ル を 追加 する と 、 ク エリ が 自動 的 に 入力 され る の で 、 ワ 
ンク リッ ク し て ダッ シュ ボー ド に 追加 し ます 。 
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AssetView マ 


ヘルプ マ ロロ 
ダッ シュ ボー ド アセ ッ ト テン プレ ー ト コネ クタ 
‘— AssetView アセ ッ ト タグ 
保存 済み の 検索 ・ アセ ッ 
provider:"Azure" AND NOT lastVmScanDate: [now-30d..now-1s] @ 検索 1 
本 日 拓 に アセ ッ ト を ガー ブ 5 け - 伝 
アセ ッ ト 名 ダッ シュ ポー ド に 新規 ウィ ジェ エッ ト を 追加 


口 sada-360testvpc-withinterne.| 以下 の フォ ー ム を 使用 する ウィ ジェ ッ ト の デー タ を 選択 ") 必須 フィ ー ル ド 。 ウィ ジェ エット の 外観 を カス タマ イズ 


192.1.1.192. 5 8.147.149 | ip-1 


shh 《 う ASSETS 


棒グラフ 円 グラ フ 


ウィ ジェ ッ ト タ イト ル * 


タイ トル 未 設定 ウィ ジェ ッ ト 
この フィ ー ル ド は 必須 で す 6 
次 エ り 

test 


比較 

ロロ 他 の 参照 ウエ リ と 比較 
トレ ンド 分 析 

ロロ トレ ンド デー タ を 収集 


書式 の 追加 .… トノ 


ここ を クリ ッ ク し て 
ダッ シュ ボー ド に 追加 
キャ ン セ ル 戻る ダッ シュ ボー ド に 追加 


レポ ー ト の 作成 


Qualys VM アプ リ で 、 さ ま ざ ま な 脆弱 性 レポ ー ト を 作成 で きま す 。 


「VM/VMDR」 つ 「Reports」 つ 「New」 つ 「Scan Report」 つ 「Template Based.…」 を 選択 し ます 。 多数 の 
レポ ー ト テン プレ ー ト の 中 か ら 選 択 す る こと も 、 独 自 に 作成 する こと も で きま す 。 脆 弱 性 の 全 詳細 を 表示 す 
る に は 、 テ クニ カル レポ ー ト を 作成 し ます 。 


VMDR マ 


Dashboard  Vulnerabilities Prioritizatton Scans Reports Rel 


il Reports 較 S5oiS 敵 Schedules Templates Risk Analysis 


_ View Report T DS a Template Based... re 
Scorecard Rep4rt... PCI Scan Template... | 
Map Report... | 
Patch Report .. 


Authentication Report 
Remediation Report... 
Compliance Report... 


Asset Search Report... 


Download.… 


76 
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対象 の レポ ー ト を 選択 し ます 。 


| 


「New」 つ 「Compliance Report」 を 選択 し 、 


Azure 属性 を 使用 し た 動 的 タグ 付け 
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「Reports」 = 


Azure コネ クタ で 収集 し た Azure メタ デー タ に 基づい て 、Azure 仮想 マシ ン に タグ 付け する た め の 動 的 タグ 


手順 は 簡単 で す 。 
ラウ ド プ ロバ イダ を 選択 し 、 
Azure 属性 が 表示 され ます 。 


ルー ル を 作成 し ます 。 タ グル ー ル ご と に 、 検 索 ク エリ 


1) 「 新 規 タ グ 」 を クリ ッ ク し 、2) 「 ク ラウ ドア セッ ト 検 索 」 タ グル ー ル を 選択 し 、3) ク 
4) クエ リ を 入力 し ます 。Query フィ ー ル ド に 入力 を 開始 する と 、 検 索 で きる 


に Azure イン スタ ンス 情報 を 指定 し ます 。 


[ 
= トー ロロ ーー ステ ッ プ 2/3 タグ の タイ プ お よび ルー ル を 設定 
クイ ッ ク フ ィ ル タ 口 
末 舌 時 画 | Test13131 1 タグ の 詳細 ルー ル エ ンジ ン 
bot wtest_wn_vuin クラ ウド アセ ッ ト 検 索 保存 時 に ルー ル を 青 評 価 
お 気 に 入 回 し ーー @ タク ルー ル 
ロ i 2 っ 1 ッ ラ ウド プロ 
3 設定 内 容 を 確認 @“ AWS(Ec2) 
azure.vm.resourceGroupName: MC_hikkube_ hukaks フ 2 castus 
の 選択 し た アセ ッ ト に お ける ルー ル の 適用 性 を テス ト 
アセ ッ ト ぞ を 達 共 - アセ ッ ト を 所 択 ~ 3 得 用 往 を デニ ト 
クエ リ の 例 


East US リー ジョ ン 内 に 


MC hkkube hkaks2 eastus 


標準 サイ ズ の Azure 仮想 マシ ン を 検索 : 


IP (カン マ 区 切り リス ト ま た は 範 
azure.vm.publicIpAddress: 


) に 時 


azure.vm.privateIpAddress: 


ロ - 


特定 の タグ を 持つ Azure 仮想 マシ ン を 検索 : 


ある Azure 仮想 マシ ン を 検索 : 
特定 の グル ー プ 名 を 持つ Azure 仮想 マシ ン を 検索 : 


azure.vm. size: 


[104.211.13.0 


[10.95.0.0... 


特定 の サブ プス クリ プション ID を 持つ Azure 仮想 マシ ン を 検索 
d767489-da0o-4948-a285-bF2c708c0586 


azure.tags: 


azure.vm.location: eastusg 


azure.vm. resourceGroupName: 


Standard* 


づい て Azure 仮想 マシ ン を 検索 : 


・.104.211.13.255] 
10.95.0.255] 


: azure.vm. subscriptionId: 


(name: Owner and value:amy) 
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Qualys を 使用 し た アセ ッ ト 管 理 


ここ で は 、Qualys を 使用 し て Azure イン フラ スト ラク チャ を セキ ュ リ ティ 保護 する た め に アセ ッ ト を 編成 
する た め の ベ スト プラ クティ ス と ヒン ト に つい て 読 明 し ます 。 


Qualys 設定 


アセ ッ ト グ ルー プ - アセ ッ ト を 意味 の ある グル ー プ に 編成 し 、 サブ ユー ザ に 割り 当て ます 。 ア セッ トグル ー 
プ は 、 ス キャ ナ 、 リ ー ダ 、 ユ ニッ トマ ネー ジャ (ビジ ネス ユニ ッ ト が 定義 され て いる 場合 ) な ど 、 複 数 の 
ユー ザ が ある 場合 は 必須 で す 。 同じ IP アド レス に 複数 の アセ ッ ト グ ルー プ を 含め る こと が で きま す 。 


uo 


Asset Groups Host Assets Asset Search KE uleric Domains Networks Applications > 
ンマ | [New マ | sea | | mees マ 1-20 of 38 DE 
Title IPs Domains AppPliances Business Impact User IModified・ 
My Asset Group 10.10.10.4-10.10.10.255 0 High Jason Kim 02710/2017 へ 
Windows 2003 Server Asset Group 10.10.25.12 0 High Victor Smith 0271272014 


ビジ ネス ユニ ッ ト - 組織 の 状態 と 一 致す る よう に ユー ザ と アセ ッ ト を ビジ ネス ユニ ッ ト に 編成 し ます 。 こ う 
する こと に より 、 マ ネー ジャ に は 、 自 分 に 割り 当て られ た ビジ ネス ユニ ッ ト の コン テキ スト に 沿っ て ユー ザ 
に ロー ル ベ ー ス の パー ミッ ショ ン を 付与 で きる よう に な り ま す 。 同じ TP アド レス に 複数 の ビジ ネス ユニ ッ 


今 ミ で 素 千 
を 含め る こと が で きま す 。 
EUsers Ue Business Units Distribution Groups ere| Setup 
マ | New w | | searcn | | | 1-3 of3 用 v 
Title - Primary Contact Users Modified 
Asia Carla Ming 5 08/2672016 
Europe Eric Conrad 2 0507/2009 


ネッ トワ ー ク - 重複 し て いる IP ブロ ッ ク を 個 


別に 維持 する た め に 、 独立 し た プラ イベ ー ト IP ネッ トワ ー ク 


を 編成 し 3 


E す 。 これ が 設定 され る と 、 Qualys は ネッ トワ ー ク と IP アド レス を 使 


1 し て TP を 追跡 し ます 。 TP 


アド レス は 、 サ ブス クリ プシ ョ ン 


また は 1 つの ネッ トワ ー ク に 対し て 一 意 で ある 必要 が あり ます 。 


VMDR 


wv 


Dashboard Vulnerabilities Prioritization 


‘= Assets Host Assets 


Asset Groups 


| New wv | | searcn | 
Title 


Global Default Network (default) 


Scans Reports Remediation Assets KnowledgeBase Use 


Asset Search Virtual Hosts Domains Networks 


Created By 


System 


78 


終了 し た 仮想 マシ ン の 削除 - 終了 し た 仮想 マシ ン は Qualys アカ ウン ト か ら 削 


Securing Microsoft Azure with Qualys 
Qualys を 使用 し た アセ ッ ト 管 理 


除 す る こと が で きま す 。 


VM/VMDR また は Policy Compliance で 「Assets」 つ 「Asset Search」 に 移動 し て 、 追 跡 方 法 が IP アド レ 


ス で ある アセ ッ ト を 選択 し ます 。x 


日 以内 に スキ ャ ン さ れ て いな い 前 回 スキ ャ ン 


な どの パラ メー タ を 追加 


し て 、 検 索 結果 を 絞り 込む こと も で きま す 。 


VMDR y 
Dashboard Vulnerabilittes Prioritization Scans Reports Remediation Assets KnowledgeBase 
や Assets C0 生計 Asset Search uk nlc 誠に Ro 半 導 NOC 
Example: 192.168.0.87-192.168.0.92, 192.168.0.200 
日 Include asset group titles In results 
With the following attributes 
DNS Hostname: | | beginning with Y 
EC2 Instance ID: 日 | beginning with T 
NetBIOS Hostname: 邊 | beginning with v 
Tracking Method: M | 1p address rv] 
EC2 Instance status: RUNNING Y 
OperatingSystem: 口 | beginning with Y BView 
Open Ports: U 
Running Services: 彫 | +y Select 
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「Search」 を クリ ッ ク し 、 結 果 か ら ア セッ ト を 選択 し ます 。「Actions] ドロ ッ プ ダウ ン か ら 、「Purge」 を 選 
択 し ます 。 こ れ に より 、 ア セッ ト と アモ セット に 関連 する デー タ が モジ ュー ル か ら 削 除 さ れ ま す 。 


円 Asset Search Report - Google Chrome 


人 Qualys, Inc. [US] 


| Asset Search Report 


| Fie< Help< 


| ーー 
| Actions: | Edit IApply 


Add to Asset Groups 
Add All to Asset Groups 

Add to a new Asset Group 
Add All to a new Asset Group 
Remove from Asset Groups 

中 Remove All from Asset Groups 
Launch Vulnerability Scan 
Launch Vulnerability Scan on All 1005 
Launch Compliance Scan 

Launch Compliance Scan on All 

Schedule Vulnerability Scan 

Schedule Vulnerability Scan on All 

Schedule Compliance Scan 

Schedule Compliance Scan on All 

- 1 Launch Vulnerability Scan Report 

Launch Vulnerability Scan Report on Al 


Excluded ( any ): 


ervices Pvt. Ltd.S 


エー ジェ ント の アン イン スト ー ル 


Azure アセ ッ ト に Cloud Agent を 配置 し て お り 、 過 去 N 日 間 チ ェ ッ クイ ン さ れ て いな い エ ー ジ ェ ン ト を ア 
ン イ ンス トー ル す る と いう シナ リオ で は 、 次 の API 呼び 出し を 使用 する こと が で きま す 。 


リク エス ト : 


curl -u "USERNAME : PASSWORD" -X "PBOST" -H "Content -Type : text/xml" -H 
"Cache-Control: no-cache" --data-binary 

@uninstall agents not checkedin.xml 

"ht て tpg : //qualysapi.qualys . com/qps/rest/2.0/uninstall/am/asset/" 


uninstall agents not checkedin.xml の コン テン ン : 


<?xml version="1.0" encoding= "UTE-8" ?> 

<ServiceRequest> 

<filters> 

<Criteria field="tagName" operator="EQUALS">Cloud Agent</Criteria> 
<Criteria field="updated" operator="LESSER">2016-08- 
25T00:00:01Z</Criteria> 

</filters> 

</ServiceRequest> 


Cloud Agent API の 詳細 に つい て は 、『Cloud Agent API ユー ザ ガ イ ド 』 を 参照 し て くだ さい 。 
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よく ある 質問 


質問 


回 答 


Securing Microsoft Azure with Qualys 


よく ある 質問 


Virtual Scanner Appliance で プ 
ラッ ト フ ォ ー ム プロ バイ ダ 情 報 
を 表示 する 方 法 


Azure (また は 他 の クラ ウド プラ ッ ト フ ォ ー ム ) 


に 配置 され た Virtual Scanner 


Appliance の プラ ッ ト フ ォ ー ム プロ バイ ダ 情 報 は 、Qualys アカ ウン ト 内 に 表 


示さ れ ま す 。 この 情報 は 
ス の 表示 また は 編集 時 に 、「 


、「 ス キャ ン 」 つ 「 ア プラ イア ンス 」 で アプ ライ アン 
般 情 報 」 セ クシ ョ ン に 表示 され ます 。 


接続 に 関す る トラ ブル シュ ー 
ティ ング 


Qualys Scanner Appliance は 、HTTPS を 使 


| し て Qualys クラ ウド プラ ッ 


ト フ ォ ー ム に 常時 接続 され て いる 必要 が あり ます 。 ア プラ イア ンス を 適切 に 


動作 させ る に 


は 、 接 続 ( 


スキ ャ ナ と Qualys クラ ウド プラ ッ ト フ ォ ー ム の 間 !( 
敗 の メッ セー ジ が 表示 され ます 。 通信 の 障害 が 発生 する 理由 
ロー カル ネッ トワ ー ク の 停止 、 何 ら か の 理由 に 
ト 接続 の 切断 、 ま た は スキ ャ ナ と Qualys クラ ウド プラ ッ ト フ ォ ー ム と の 間 
に ある いずれ か の ネッ トワ ー ク デバ イス の 停 」 


ある と 、 
と し て は 


通信 失 


ネッ トワ ー ク エラ ー の メッ セー ジ 
フォ ー ム へ の 接続 を 試み て 失敗 し た こと を 示し ます 。 


ド プ ラッ 


シュ ー テ ィング を 容易 に する た め 


こ 関 する 問題 を 解決 し て くだ さい 。 


こ ネ ットワーク の 断絶 が 


こよ る イン ター ネッ 


ト 上 など が 考え られ ます 。 
よ 、Scanner Appliance が Qualys クラ ウ 
ラブ ル 
に 、 エ ラー コー ド と 説明 が 表示 され ます 。 


ー は 、 プ ロキ シ サ ー バ と Qualys クラ ウド プラ ッ ト フ ォ ー ム と の 接続 エ 
ラー が 関係 し て いる こと が あり ます 。Qualys クラ ウド プラ ッ ト フ ォ ー ム は 
接続 性 チェ ッ ク の 結果 と Azure System Console の 全般 的 な 個人 向け プロ セ 


ス を 記録 し て いま す 。 


「No eonnectvity to qualysguard.qualys.com - please fix.」 と いう メッ セー ジ 


が 表示 され た 場 


合 、VPN ネッ トワ ー ク ACL と セキ ュ リ ティ グル ー プ で 発信 


HTTPS (TCP ポー ト 443) アク セス が 許可 され て いる こと を 確認 し て くだ 


し て いる 場合 は 、 ス キャ ナ が プロ キシ サー バ に 


アク セス 可能 で 、 プ ロキ シ サ ー バ が Qualys クラ ウド プラ ッ ト フ ォ ー ム に ア 


さい 。 プ ロキ シ サ ー バ を 使 
クセ ス 可 能 で ある こと を 確認 し ま 


す 。 
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